.

Diritto
11. I COSTI DEI CRIMINI INFORMATICI
Da quanto rilevato, le conseguenze negative per lazienda possono essere identificate essenzialmente in termini di: danno allimmagine ed alla reputazione, costo di ripristino della situazione fisiologica del servizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese necessarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttivit del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare anche quelli necessari per scoprire quanto in realt accaduto allinterno dellazienda. In numerosi casi, infatti, ci che viene immediatamente rilevato il danno mentre la causa pi difficile da determinare. Per questo motivo, le aziende vittime di un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere delle indagini interne al fine di determinare lentit del danno e la sua causa. E interessante mettere in risalto la rilevanza di un altro dato: la diminuzione della figura del singolo criminale e il sempre maggiore consolidamento di organizzazioni criminali dotate di competenze e strutture agili e moderne. Per dare una dimensione pi concreta del fenomeno italiano dei crimini informatici opportuno estrapolare dai dati complessivi della citata indagine esclusivamente quelli rilevati allinterno delle aziende italiane coinvolte nellinchiesta : a) il 23% delle aziende italiane ritiene il crimine informatico pi pericoloso rispetto al crimine tradizionale (a livello globale il valore il 40%); b) il 40% delle aziende italiane ritengono che le due tipolgie di crimine informatico e tradizionale - rappresentino una mnaccia di uguale gravit (a livello globale il valore il 30%); c) il 46% delle aziende italiane ritiene il crimine informatico pi costoso di quello tradizionale (a livello globale il valore il 58%); d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale provengano dallinterno delle rispettive organizzazioni (a livello globale il valore il 66%). La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che basano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti noi lasciamo muovendoci ed operando fisicamente (percorrendo lautostrada, utilizzando la carta di credito, il bancomat e il telefono cellulare...) o virtualmente nella rete (dando e ricevendo informazioni in modo volontario o involontario; richiedendo e concedendo lutilizzo di una serie di dati personali oppure semplicemente consultando determinate notizie piuttosto che altre...) potrebbero rappresentare un terreno difficile da controllare per le organizzazioni giuridiche statali ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed una diversa concezione delle responsabilit legate alla gestione delle informazioni. Tali realt non dovranno essere limitate ai rigidi confini nazionali, troppo stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale, ma proiettate verso una visione globale della societ umana. Il legislatore, in questepoca di grandi sconvolgimenti tecnologici, deve prepararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazione. La necessit di adattare vecchie norme alle nuove esigenze e di progettare sistemi innovativi di regolamentazione, controllo e repressione rappresentano le principali preoccupazioni dei legislatori di tutto il mondo. Con Internet, in particolare, si riassapora la modernit di un vecchio insegnamento contenuto, come in una macchina del tempo che lo custodisce e lo preserva sempre attuale, nella celebre frase ubi societas, ibi ius. Non comprendere, fino in fondo, la natura e le modalit operative dei rapporti che nascono in questo nuovo tessuto sociale vuol dire, in realt, abbandonare la societ globale, virtualmente gi nata e operante in rete alla terribile e primordiale legge di natura dove il pi forte detta le regole che gli altri, pi deboli, sono costretti ad osservare e subire. Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sempre pi attrezzate con supporti tecnici e conoscenze informatiche potrebbero inserirsi al fine di operare fuori da ogni possibile controllo, ricostituendo cos virtualmente quello che lordinamento giuridico statale gli ha sottratto fisicamente: un territorio feudale dove poter liberamente ideare, progettare e realizzare i propri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qualunque tipo di dinamica sociale ed economica, diviene sempre pi marginale. Come evidenziano i dati citati allinizio del paragrafo appare ormai consolidata, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che, per usare le parole di Corrado Giustozzi, nellera della azienda connessa ... Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole, mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organizzazioni, non fuori da esse Alla luce dello scenario che questo breve scritto ha tentato di illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.

.Informatica

prendere coscienza di un fenomeno destinato ad estendersi sempre pi in profondit nella societ, che entra nella vita di tutti non bussando delicatamente alla porta e chiedendo il permesso di entrare ma sfondando ogni barriera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.

Leo Stilo Docente di Informatica 1 allUniversit LUM (Libera Universit del Mediterraneo- Jean Monnet), presso il Campus degli Studi e delle Universit di Pomezia. Direttore della rivista Il Nuovo Diritto, autore di pubblicazioni in materia di diritto penale e diritto delle nuove tecnologie informatiche. Collabora, ponendosi come partner per la sicurezza informatica e come consulente in diritto dellinternet, con aziende e liberi professionisti . E docente in corsi di formazione in materia di tutela dei dati personali ed informatica per aziende private ed enti pubblici.

EDITORIALE
Tutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes, della bisaccia delle esperienze e delle conoscenze che raccolgono durante lintero percorso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati diventano appunti, pensieri che si ammassano in ordine sparso dentro un contenitore di fortuna. Quando si incontra un altro viandante, senza forma e senza articolazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate. Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. il dramma della informazione che non riesce a diventare comunicazione, che non passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua utilizzazione. La mia professione diceva Ballard attraversare frontiere. Anche la nostra; sebbene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cammino, vincolo ed opportunit della strada, lirraggiungibile oltre, un limite senza essere limitato, la mta che attrae il passo, il confine che non ha fine, il luogo dei mille passaggi in una parte di mondo. Lintelligenza scriveva Jean Piaget organizza il mondo organizzando se stessa. Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella integrazione delle sue parti, un modo per organizzare la nostra capacit di intus legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, interamente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa produrre significati, dare linfa vitale al corpo della realt, sangue alle membra dei fatti ammassati dalla storia. La vita una produzione di significati. La nostra rivista il luogo in cui questi significati crescono e maturano, uno spazio di comunicazione qualificata sui temi e problemi della complessit sociale che laccademia universitaria analizza, interpreta, discuta. La nostra rivista il luogo in cui lattivit di comunicazione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra, prende forma, appare nella sua veste di coerenza epistemologica. Lambizione di realizzare una rivista che, nei settori di nostra competenza, sia un riferimento per lalta affidabilit dei suoi contenuti. Per noi anche una inderogabile esigenza di mettere ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significativi nei reticoli della varia editoria. Il suo valore consiste nella opportunit che offre nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacit che sapr dimostrare nel tentativo infinito di organizzare il mondo organizzando la sua intelligenza. Alessandro Ceci

Febbraio 2011- 01 I quaderni del Campus

12

.Diritto

.Informatica

IL CRIMINE INFORMATICO NELLA SOCIETA DELL INFORMAZIONE

Sommario: 1. La nuova era digitale tra vecchie e nuove storie; 2. Un vortice di dati personali tra internet e nuove tendenze del mercato; 3. Il commercio nella societ dellinformazione: una questione di fiducia e sicurezza; 4. Linsostenibile insicurezza della societ dellinformazione: alla ricerca del bene giuridico da difendere; 5. Crimini informatici: dalle liste nere al codice penale italiano .6. Alla ricerca delle fonti del danno informatico in azienda; 7. Malware in azienda; 7.1. Virus; 7.2 worm; 7.3 trojan horse; 7.4 Spyware: un parassita digitale dai mille untori; 8. Attacchi informatici; 8.1 denial of service; 8.2 sniffing; 8.3 hijacking; 8.4 spoofing; 8.5 blended threats; 9. Le truffe del www; 9.1 social engineering; 9.2 scam; 9.3 phishing; 9.4 dialer; 10. Le altre fonti di danno nel web; 10.1 zombie: 10.2 cybersquatting; 10.3 hoax; 10.4 deeplinking e framing; 10.5 spamming; 11. Il costo dei crimini informatici in azienda 1. LA NUOVA ERA DIGITALE TRA VECCHIE E NUOVE STORIE.

ollocare storicamente il fenomeno evolutivo delle tecnologie informatiche in un quadro storico ben determinato un tassello importante nel processo di comprensione dello stretto legame esistente tra tali innovazioni e la storia del secolo passato. Lincubatrice culturale che ha determinato unimpennata evolutiva delle tecnologie elettroniche, supporto fisico necessario per il successivo sviluppo dellera digitale, trova origine in una dimensione spaziale e temporale ben determinata (1). Lo scenario quello del secondo dopoguerra: alla fine delle ostilit belliche, i nuovi dominatori della scena mondiale, grazie al prestigio politico, militare ed economico conquistato sul campo di battaglia contro il nazifascismo, iniziarono una lunga ed estenuante guerra fredda per legemonia del Mondo che poneva a confronto, luna contro laltra, due ideologie e, con esse, due complessi modelli di societ. Il mondo appariva cos diviso in due blocchi contrapposti, separati simbolicamente, e in alcuni casi fisicamente, da un muro di reciproca diffidenza e sospetto. Le sorti dellumanit quotidianamente venivano messe in gioco sul tavolo del mantenimento di un terrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La corsa verso nuove tecnologie belliche, offensive e difensive, determin durante gli anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche destinate alla ricerca scientifica. I momenti pi significativi della storia dellelettronica, informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata senza unapparente possibilit duscita e che oggi, cambiati gli attori protagonisti della scena, sembra rivivere con il suo pesante carico dangosce ed incubi. I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analizzati e valutati, quindi, come realt a compartimenti stagni, ma come entit figlie di scoperte ed invenzioni comuni che trovano nella sinergia della ricerca il loro punto di forza e il loro massimo stimolo. I diversi campi della ricerca, cos intesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistematicamente con scadenze temporali sempre pi ravvicinate i limiti umani che oggi appaiono, terrificante equilibrio di armamenti tecnologici e sulla consapevolezza che un loro impiego avrebbe determinato un serio rischio per la fine della vita sulla Terra. La corsa verso nuove tecnologie belliche, offensive e difensive, determin durante gli anni del dopoguerra un incremento vertiginoso delle sovvenzioni pubbliche destinate alla ricerca scientifica. I momenti pi significativi della storia dellelettronica, informatica e telematica di questi ultimi 60/70 anni, infatti, affondano le radici nel clima di sospetto glaciale in cui la politica mondiale si trovava impantanata senza unapparente possibilit duscita e che oggi, cambiati gli attori protagonisti della scena, sembra rivivere con il suo pesante carico dangosce ed incubi. I diversi binari di sviluppo seguiti dalla scienza moderna non devono essere analizzati e valutati, quindi, come realt a compartimenti stagni, ma come entit figlie di scoperte ed invenzioni comuni che trovano nella sinergia della ricerca il loro punto di forza e il loro massimo stimolo. I diversi campi della ricerca, cos intesi, hanno consentito nel corso degli ultimi decenni di oltrepassare sistematicamente con scadenze temporali sempre pi ravvicinate i limiti umani che oggi appaiono,consapevolmente o inconsapevolmente, sempre pi di natura contingente. I momenti pi significativi di questo sviluppo tecnologico, che non appare ancora aver raggiunto la fase discendente della sua parabola evolutiva, sono rappresentati: 1) dalla microelettronica la cui nascita collocabile, simbolicamente, nel 1947 nei Bell Laboratories di Murray Hill nel New Jersey dove venne inventato il transistor (2) e con esso la possibilit di trasformare gli impulsi elettrici in un codice binario (semiconduttori) utilizzabile, in estrema sintesi, per comunicare con le macchine in modo rapido e sempre pi complesso (3) ;

2) dal computer, anchesso figlio della seconda guerra mondiale madre di tutte le tecnologie (4) ; 3) da Internet, la cui ideazione e realizzazione frutto di una sinergica commistione tra la classica strategia militare e linnovazione imprenditoriale di una nuova generazione di studiosi e ricercatori universitari (5). In questa necessariamente breve e superficiale descrizione, utile ad incorniciare la situazione-madre dellera del Bit, particolare attenzione deve essere dedicata alla nascita del fenomeno Internet. Le origini della Rete delle reti si possono rinvenire allinterno delle ricerche condotte dallARPA (Advanced Research Projects Agency) del Dipartimento degli Stati Uniti. In un momento storico di particolare frizione tra i due blocchi ideologici ed economici che si dividevano il mondo, il lancio del primo Sputnik, lAmerica avvert lesigenza di aumentare i fondi della ricerca per prevenire eventuali attacchi provenienti dallo spazio. Tra le idee seguite e sviluppate dallARPA, di particolare interesse fu quella concepita da Paul Baran alla Rand Corporation nel 1960-64, che aveva ad oggetto la progettazione di un sistema di comunicazioni invulnerabile agli attacchi nucleari. Basato sulla tecnologia di comunicazione della commutazione a pacchetto, il sistema rese la rete indipendente da centri di comando e controllo, affinch le unit di messaggio trovassero le proprie strade lungo la rete, venendo ricomposte nel messaggio originale in qualsiasi punto del sistema (6) . Accanto ai computer ed internet vi un altro elemento da analizzare per avere un quadro dello scenario entro cui ricostruire il fenomeno dei crimini informatici in azienda e della conseguente esigenza di una maggiore tutela dei dati e delle informazioni: il software. Il software, quale bene in s, acquista autonomia giuridica, distaccandosi dal cordone primordiale che lo legava indissolubilmente ad un ruolo di semplice appendice dellhardware, in un tempo successivo alla diffusione e commercializzazione degli elaboratori elettronici. Il tardivo riconoscimento di unautonoma valenza del programma legato alla storia della diffusione delle nuove tecnolo gie informatiche; per tale motivo, una breve analisi storica utile al fine di individuare le ragioni che hanno spinto i legislatori dei Paesi pi industrializzati a dettare una puntuale disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica. Accanto ai computer ed internet vi un altro elemento da analizzare per avere un quadro dello scenario entro cui ricostruire il fenomeno dei crimini informatici in azienda e della conseguente esigenza di una maggiore tutela dei dati e delle informazioni: il software. Il software, quale bene in s, acquista autonomia giuridica, distaccandosi dal cordone primordiale che lo legava indissolubilmente ad un ruolo di semplice appendice dellhardware, in un tempo successivo alla diffusione e commercializzazione degli elaboratori elettronici. Il tardivo riconoscimento di unautonoma valenza del programma legato alla storia della diffusione delle nuove tecnologie informatiche; per tale motivo, una breve analisi storica utile al fine di individuare le ragioni che hanno spinto i legislatori dei Paesi pi industrializzati a dettare una puntuale disciplina tesa a tutelare il software nella sua intrinseca valenza sociale e giuridica. Con lavvento del microprocessore i rapporti uomo/lavoro, uomo/tempo libero si avviarono verso un drastico mutamento di prospettiva in cui il computer divenne sempre pi personal e presente in tutte le quotidiane dinamiche di relazione sociale. Nel 1975 ED ROBERTS, fondatore della MITS, una piccola societ produttrice di calcolatori nel New Mexico diede alla luce Altair. La novit che caratterizzava questa nuova macchina, differenziandola da tutte le altre precedentemente realizzate, trovava fondamento nella concezione di base con cui la stessa era stata ideata e successivamente costruita: Altair era un computer creato attorno ad un microprocessore. Le dimensioni e i costi degli elaboratori, col passare del tempo, divennero pi contenuti e il loro impiego si dimostr appetibile per una tipologia di utenti le cui dimensioni aumentarono esponenzialmente in rapporto alla maggiore

01

I quaderni del Campus 01 - Febbraio 2011

.Diritto
11. I COSTI DEI CRIMINI INFORMATICI
Da quanto rilevato, le conseguenze negative per lazienda possono essere identificate essenzialmente in termini di: danno allimmagine ed alla reputazione, costo di ripristino della situazione fisiologica del servizio, perdita di clienti acquisiti e da acquisire ed ancora in termini di spese necessarie per avvisare clienti, fornitori e pubblico in generale, perdita di produttivit del personale e spese legali. Tra i costi correlati al crimine informatico bisogna citare anche quelli necessari per scoprire quanto in realt accaduto allinterno dellazienda. In numerosi casi, infatti, ci che viene immediatamente rilevato il danno mentre la causa pi difficile da determinare. Per questo motivo, le aziende vittime di un crimine informatico devono investire delle risorse, a volte ingenti, per svolgere delle indagini interne al fine di determinare lentit del danno e la sua causa. E interessante mettere in risalto la rilevanza di un altro dato: la diminuzione della figura del singolo criminale e il sempre maggiore consolidamento di organizzazioni criminali dotate di competenze e strutture agili e moderne. Per dare una dimensione pi concreta del fenomeno italiano dei crimini informatici opportuno estrapolare dai dati complessivi della citata indagine esclusivamente quelli rilevati allinterno delle aziende italiane coinvolte nellinchiesta : a) il 23% delle aziende italiane ritiene il crimine informatico pi pericoloso rispetto al crimine tradizionale (a livello globale il valore il 40%); b) il 40% delle aziende italiane ritengono che le due tipolgie di crimine informatico e tradizionale - rappresentino una mnaccia di uguale gravit (a livello globale il valore il 30%); c) il 46% delle aziende italiane ritiene il crimine informatico pi costoso di quello tradizionale (a livello globale il valore il 58%); d) il 51% delle aziende italiane ritiene che le minacce alla sicurezza aziendale provengano dallinterno delle rispettive organizzazioni (a livello globale il valore il 66%). La riflessione conclusiva coinvolge tutte le nuove tecnologie informatiche che basano la loro stessa esistenza sulla gestione di informazioni e dati: le tracce che tutti noi lasciamo muovendoci ed operando fisicamente (percorrendo lautostrada, utilizzando la carta di credito, il bancomat e il telefono cellulare...) o virtualmente nella rete (dando e ricevendo informazioni in modo volontario o involontario; richiedendo e concedendo lutilizzo di una serie di dati personali oppure semplicemente consultando determinate notizie piuttosto che altre...) potrebbero rappresentare un terreno difficile da controllare per le organizzazioni giuridiche statali ed internazionali. Per questo occorre formare e diffondere una nuova coscienza ed una diversa concezione delle responsabilit legate alla gestione delle informazioni. Tali realt non dovranno essere limitate ai rigidi confini nazionali, troppo stretti ed angusti per strumeti completamente slacciati dalla dimensione territoriale, ma proiettate verso una visione globale della societ umana. Il legislatore, in questepoca di grandi sconvolgimenti tecnologici, deve prepararsi ad un complesso ed affascinante lavoro di ricerca e di sperimentazione. La necessit di adattare vecchie norme alle nuove esigenze e di progettare sistemi innovativi di regolamentazione, controllo e repressione rappresentano le principali preoccupazioni dei legislatori di tutto il mondo. Con Internet, in particolare, si riassapora la modernit di un vecchio insegnamento contenuto, come in una macchina del tempo che lo custodisce e lo preserva sempre attuale, nella celebre frase ubi societas, ibi ius. Non comprendere, fino in fondo, la natura e le modalit operative dei rapporti che nascono in questo nuovo tessuto sociale vuol dire, in realt, abbandonare la societ globale, virtualmente gi nata e operante in rete alla terribile e primordiale legge di natura dove il pi forte detta le regole che gli altri, pi deboli, sono costretti ad osservare e subire. Nel vuoto di tutela e di controllo, ad esempio, le organizzazioni criminali sempre pi attrezzate con supporti tecnici e conoscenze informatiche potrebbero inserirsi al fine di operare fuori da ogni possibile controllo, ricostituendo cos virtualmente quello che lordinamento giuridico statale gli ha sottratto fisicamente: un territorio feudale dove poter liberamente ideare, progettare e realizzare i propri interessi. Il ruolo del territorio, un tempo scenario fisico necessario per qualunque tipo di dinamica sociale ed economica, diviene sempre pi marginale. Come evidenziano i dati citati allinizio del paragrafo appare ormai consolidata, sia a livello globale e sia a livello nazionale, la consapevolezza che il costo del crimine informatico ha assunto delle dimensioni di rilevanza allarmante e che, per usare le parole di Corrado Giustozzi, nellera della azienda connessa ... Internet e gli hacker sono un capro espiatorio, quando non uno specchio per le allodole, mentre i veri problemi sono quasi sempre altrove: dentro le nostre aziende ed organizzazioni, non fuori da esse Alla luce dello scenario che questo breve scritto ha tentato di illustrare, purtroppo necessariamente solo per punti, occorre, anche se a piccoli passi,.

.Informatica

prendere coscienza di un fenomeno destinato ad estendersi sempre pi in profondit nella societ, che entra nella vita di tutti non bussando delicatamente alla porta e chiedendo il permesso di entrare ma sfondando ogni barriera fisica posta davanti al suo cammino, coinvolgendo tutti e tutto.

Leo Stilo Docente di Informatica 1 allUniversit LUM (Libera Universit del Mediterraneo- Jean Monnet), presso il Campus degli Studi e delle Universit di Pomezia. Direttore della rivista Il Nuovo Diritto, autore di pubblicazioni in materia di diritto penale e diritto delle nuove tecnologie informatiche. Collabora, ponendosi come partner per la sicurezza informatica e come consulente in diritto dellinternet, con aziende e liberi professionisti . E docente in corsi di formazione in materia di tutela dei dati personali ed informatica per aziende private ed enti pubblici.

EDITORIALE
Tutti coloro che affrontano un viaggio hanno bisogno di un vademecum, di un notes, della bisaccia delle esperienze e delle conoscenze che raccolgono durante lintero percorso. Le parole denotative, le espressioni connotative, i concetti, i simboli e i significati diventano appunti, pensieri che si ammassano in ordine sparso dentro un contenitore di fortuna. Quando si incontra un altro viandante, senza forma e senza articolazione logica, quelle parole non riescono ad essere trasmesse, ad essere scambiate. Non crescono, idee e concetti giacciono pigri, soffocati nel disordine di una sacca. il dramma della informazione che non riesce a diventare comunicazione, che non passa, che non sa essere scambiata e staziona in un archivio in attesa di una sua utilizzazione. La mia professione diceva Ballard attraversare frontiere. Anche la nostra; sebbene non nascondiamo una preferenza per il concetto gadameriano di orizzonte che lo sguardo non trattiene, che si sposta dal passante al passo, dal viandante al cammino, vincolo ed opportunit della strada, lirraggiungibile oltre, un limite senza essere limitato, la mta che attrae il passo, il confine che non ha fine, il luogo dei mille passaggi in una parte di mondo. Lintelligenza scriveva Jean Piaget organizza il mondo organizzando se stessa. Fare una rivista, anche semplicemente comporla, costruirla nella coerenza e nella integrazione delle sue parti, un modo per organizzare la nostra capacit di intus legere, di leggere dentro le esperienze del mondo. Fare una rivista scientifica, interamente costruita sul confronto critico tra analisti, protagonisti e problemi, poi, significa produrre significati, dare linfa vitale al corpo della realt, sangue alle membra dei fatti ammassati dalla storia. La vita una produzione di significati. La nostra rivista il luogo in cui questi significati crescono e maturano, uno spazio di comunicazione qualificata sui temi e problemi della complessit sociale che laccademia universitaria analizza, interpreta, discuta. La nostra rivista il luogo in cui lattivit di comunicazione e confronto scientifico, che si mostra nei seminari e nei convegni, si dimostra, prende forma, appare nella sua veste di coerenza epistemologica. Lambizione di realizzare una rivista che, nei settori di nostra competenza, sia un riferimento per lalta affidabilit dei suoi contenuti. Per noi anche una inderogabile esigenza di mettere ordine in una materia che, in Italia, ha sparso e talvolta disperso contributi significativi nei reticoli della varia editoria. Il suo valore consiste nella opportunit che offre nel trasformare le esperienze in conoscenze e le conoscenze in proposte, nella capacit che sapr dimostrare nel tentativo infinito di organizzare il mondo organizzando la sua intelligenza. Alessandro Ceci

Febbraio 2011- 01 I quaderni del Campus

12

.Diritto

.Informatica
il software oggi riveste nellambito di un mercato sempre pi globale, dove flussi ingenti di risorse economiche sono legati, in modo diretto ed indiretto, alle vicende di questo nuovo e particolare bene. Quello descritto, con rapidi tratti, solo un quadro generale di ci che ha determinato, assieme ad altre numerose concause, gli assetti economici e culturali di quella che viene comunemente definita lera del BIT. Oggi, in un periodo in cui il Mondo torna ad essere sconvolto da conflitti politici, ideologici e religiosi, assistiamo ad una nuova corsa agli armamenti che probabilmente porter nei prossimi anni a nuovi impulsi tecnologici capaci di modificare profondamente la nostra vita quotidiana. Alle persone di buon senso, ancora una volta, lobbligo morale di fare accompagnare la corretta diffusione di tali innovazioni, tentando, grazie allaiuto indispensabile di studiosi di discipline informatiche e giuridiche, di circondare le stesse con quellanima di giustizia che spesso manca a scoperte ed invenzioni che, nate ai piedi di un conflitto, rischiano di mantenere nel proprio DNA qualche carattere ereditario non proprio secundum ius.
(1) Per questa scoperta ai tre fisici che lo invitarono, Bardeen, Brattain, Shockley, venne attribuito il premio Nobel. (2) CASTELLS, La nascita della societ in rete, op.cit., 45.(3) CUNEGATTI SCORZA, Multimedialit e diritto dautore, Napoli, 2001, 85: Sul finire degli anni 50 le industrie del settore informatico, che sino a quel momento avevano investito ingenti capitali e risorse nello sviluppo dellhardware, compresero limportanza e lutilit del software e, di conseguenza, cominciarono a sviluppare programmi applicativi preconfezionati capaci di risolvere i pi diversi problemi degli utenti. Sino al 1969, per, il software rimase, di fatto, un bene accessorio allhardware ed era, per lo pi venduto con questo in un unico pacchetto(omissis)dagli anni 60 ad oggi il software ha radicalmente mutato la sua posizione nel mercato informatico trasformandosi da semplice bene accessorio allhardware ad indiscusso, e incontestato, protagonista.. (4)CUNEGATTI SCORZA, , op. cit. , 86.(5)Per un quadro maggiormente esplicativo della recente e complessa storia di Internet si rinvia a: Universit degli Studi Roma Tre, Dipartimento di Informatica e Automazione, http://www.dia. uniroma3.it/~necci/storia_internet.htm, Wikipedia, http://it.wikipedia.org/wiki/Storia_di_Internet .(6)M. CASTELLS, La nascita della societ in rete, Milano, 2002, 48. Per maggiori notizie sulla storia della Apple si rinvia a: Apple History, http://www.apple-history.com/; Apple Museum, http://www.macitynet.it/applemuseum/ (7)CASTELLS, La nascita della societ in rete, op.cit., 45.(8)CUNEGATTI SCORZA, Multimedialit e diritto dautore, Napoli, 2001, 85: Sul finire degli anni 50 le industrie del settore informatico, che sino a quel momento avevano investito ingenti capitali e risorse nello sviluppo dellhardware, compresero limportanza e lutilit del software e, di conseguenza, cominciarono a sviluppare programmi applicativi preconfezionati capaci di risolvere i pi diversi problemi degli utenti. Sino al 1969, per, il software rimase, di fatto, un bene accessorio allhardware ed era, per lo pi venduto con questo in un unico pacchetto(omissis)dagli anni 60 ad oggi il software ha radicalmente mutato la sua posizione nel mercato informatico trasformandosi da semplice bene accessorio allhardware ad indiscusso, e incontestato, protagonista..(9)CUNEGATTI SCORZA, , op. cit. , 86. (10) Maurizio Di Masi, Riflessioni del Prof. Renato Borruso sulluomo, il computer e il diritto. LINFORMATICA PER IL GIURISTA: DAL BIT A INTERNET, tratta dalla lectio magistralis24 giugno 2010 Scuola di Specializzazione per le

popolarit/curiosit nata attorno al nuovo strumento elettronico. Tale innovativa concezione della struttura del computer divenne, in breve tempo, il modello e la fonte dispirazione per la realizzazione del progetto che prese il nome di Apple (I e II): il primo computer che riusc a riscuotere un successo commerciale degno di nota. LApple venne progettato da STEVE WOZNIAK e STEVE JOBS, nel garage dei genitori a Menlo Park (Silicon Valley). Queste due giovani menti, fondatori della famosa APPLE COMPUTERS, in una storia che ormai si tinta di leggenda, costituiscono il brodo primordiale da cui prender forma, dopo un rapido processo evolutivo di tipo selettivo, la futura Et dellInformazione. Alla proposta della APPLE COMPUTERS, reag la possente industria IBM immettendo nel mercato un proprio modello di microcomputer. Per testare la fortuna commerciale di tale prodotto sufficiente evocare il nome che lIBM scelse di donargli: Personal Computer (PC). Chiaramente, il nome di questo prodotto informatico ha oltrepassato le barriere del tempo per divenire il simbolo stesso di un periodo storico di forte fermento culturale e di feconde ricerche scientifiche. Il traguardo raggiunto, dallAPPLE e dallIBM, fu quello di ridimensionare la struttura fisica del computer. Non pi enormi apparati elettronici costituiti da migliaia di valvole e transistor che richiedevano spazi enormi per linstallazione ed il loro utilizzo, ma un computer da scrivania, di dimensioni e costi umanamente contenibili Il salto tecnico e culturale fu enorme e i semi di tale innovazione non tardarono a dare frutti in ogni campo dellattivit umana. Bisogna rilevare che in questa prima fase il rapporto hardware/software di tipo simbiotico con la netta prevalenza del primo sul secondo. Era inconcepibile, infatti, non fornire assieme al computer un programma che consentisse allo stesso di funzionare. Dopo qualche anno di ricerche APPLE riusc a raggiungere un nuovo traguardo; questa volta lingegno degli scienziati and a colpire, modificandolo profondamente, il difficile rapporto computer/utente. Tale rapporto venne identificato come la chiave di volta per garantire il superamento del maggiore ostacolo alla diffusione, capillare e trasversale allinterno della societ, delluso del computer. Le nascita del Macintosh della APPLE (1984) rappresent il primo passo verso il computer user-friendly, con lintroduzione di una tecnologia dinterfaccia utente, basata su icone(omissis)(7) . E in questi anni che si solidifica, nella stessa coscienza dei produttori di computer e degli utenti finali, limportanza e il valore individuale del software (8). Lidea di un valore intrinseco del programma/linguaggio necessario per far comunicare lutente con il computer, al fine di far svolgere a questultimo operazioni di vario tipo, era ben presente, sin dagli anni 70, nella mente di due giovani studiosi: BILL GATES e PAUL ALLEN. I due giovani imprenditori/studiosi nel giro di pochi anni, grazie allidea vincente Basiccontribuirono in modo decisivo alla creazione del mercato del software, imponendosi (sotto legida del marchio MICROSOFT) nel ramo dei sistemi operativi (Dos Windows) e degli applicativi (si pensi alla diffusione capillare e mondiale del pacchetto Office). E accaduto cos che la Cenerentola software sia oggi divenuto il motore di un settore industriale che apporta contributi sempre pi significativi alleconomia mondiale generando occupazione e gettiti fiscali e aumentando la produttivit, la capacit e la competitivit dei pi diversi settori.(9) La macchina, intesa come un insieme di componenti elettronici, senza un opportuno programma idoneo a fornire le istruzioni per svolgere le diverse operazioni e risolvere i pi disparati problemi non rappresenterebbe un bene utilizzabile dallutente. Lutente, infatti, acquista il computer per svolgere determinate attivit (ad esempio: videoscrittura, gestione della contabilit, progettazione e per infiniti altri scopi) e non per la macchina in s. E il software che infonde, in un certo senso, la vita alla macchina; la quale, senza di esso, non potrebbe apparire in alcun modo appetibile. Le diverse industrie del settore informatico ben presto percepirono limportanza di tale inscindibile legame e dedicarono una parte sempre maggiore delle proprie risorse allo sviluppo di pacchetti, insieme di programmi, idonei a risolvere le pi svariate esigenze dei futuri e probabili acquirenti. Per usare le parole di Borruso il computer non solo una macchina, poich come luomo, anchesso composto di un corpo e di un anima:lhardware (ossia la macchina, il computer nella sua fisicit) e il software (complesso di istruzioni attraverso cui luomo, mediante la parola scritta o parlata, trasferisce nel computer il proprio pensiero e la propria volont) Nel computer dobbiamo vedere limago mentis delluomo: il computer, invero, fa quello, e solo quello, che luomo gli dice di fare, che luomo lo istruisce a fare. In altre parole lintelligenza del computer non insita nellhardware, ma una proiezione del pensiero umano che anima la macchina attraverso uno scritto: il software. In tale prospettiva, allora, secondo Borruso risulta corretta la scelta del nostro legislatore di tutelare il software con il diritto dautore e non con il brevetto: il software, infatti, come unopera letteraria, una forma che assume la parola umana(10) Da quanto affermato si riesce a percepire limportanza strategica che.

2. UN VORTICE DI DATI PERSONALI TRA INTERNET E NUOVE TENDENZE DEL MERCATO.

La diffusione di Internet pone ai giuristi alcuni difficili quesiti che diventano enigmatici nel momento in cui si considera questa nuova espressione della tecnologia della gestione delle informazioni in rapporto alla tutela dei dati personali (11) . Internet nasce come una struttura libera e si sviluppa con estrema capillarit, trovando sempre maggiori consensi, proprio grazie a questo suo carattere di luogo dove poter condividere, gratuitamente, informazioni di varia natura ( dalla ricerca scientifica a mere notizie e curiosit..). Il problema nasce nel momento in cui questa estrema libert si pone in rapporto con il diritto a vedere tutelati i propri dati personali presenti in rete che, per vari motivi, potrebbero essere utilizzati e sfruttati per scopi ignorati dallinteressato. La diffusione di questa realt rende evidente la difficolt di segnare i confini tra la libert di inviare/ricevere e cercare/trovare informazioni, da un lato, e la tutela della riservatezza della persona e dei dati ad essa appartenenti, dallaltro. La vasta zona dombra provocata dal conflitto, difficilmente risolvibile con gli attuali strumenti giuridici, tra due contrapposte esigenze, entrambe meritevoli di interesse e protezione da parte dellordinamento giuridico: a) lestremo vantaggio economico, sociale e culturale che la libera circolazione delle informazioni riesce a produrre; b) lestremo rischio della riduzione del singolo individuo ad un ritratto virtuale ottenuto dal rinvenimento e dal trattamento di dati personali sparsi per la rete o ottenuti, in vario modo, dal soggetto che effettua la ricerca. Il rischio di non poter controllare lutilizzo dei dati personali inseriti nella rete congenito alla stessa natura dello strumento Internet. Uno sguardo allanatomia della Rete delle reti pu aiutare a comprendere la sua intrinseca insicurezza (12). La caratteristica principale di Internet quella di essere una rete aperta alla quale tutti possono connettersi, per i fini pi vari, introducendo e/o estraendo informazioni. I dati personali inseriti per scopi determinati e conosciuti dallutente, in tempi e situazioni diverse, possono essere facilmente rintracciati grazie allutilizzo di numerosi e sempre pi specializzati motori di ricerca. I dati, una volta inseriti nella rete, si distaccano dal fine per il quale sono stati inoltrati e acquistano una vita propria, potendo essere richiamati ed ordinati in base allinterrogazione che il procacciatore di informazioni propone, tramite i motori predetti, alla rete. Inoltre, i legami ipertestuali, con cui possibile passare da un sito web allaltro, portano con s un vassoio di dati ed informazioni sui nostri gusti ed interessi utili ai gestori di servizi in rete ed utilizzabili per scopi ignorati dallutente che li ha generati. La profilazione dellutente, ossia la messa in evidenza delle linee costituenti

02

I quaderni del Campus 01 - Febbraio 2011

.Diritto
10. LE ALTRE FONTI DI DANNO NEL WEB

.Informatica

Accanto alle suddette fonti di pericolo, in internet sono presenti uninfinita serie di altre minacce. Tra le diverse nei successi punti si prenderanno in considerazione quelle pi diffuse. 10.1 ZOMBIE Se un PC non protetto si connette ad internet, esiste il 50% di probabilit che diventi uno zombi in 12 minuti (72) . Si definisce zombie un computer colpito da un virus che viene controllato da remoto da un utente malintenzionato e non autorizzato allinsaputa del legittimo titolare della macchina. Un computer zombie uno strumento nelle mani dei soggetti che abusivamente vi accedono e lo controllano. Normalmente lobiettivo perseguito con tale tecnica quello di utilizzare tutti i computer divenuti zombie per inviare spam, malware, email con contenuto fraudolento o materiale pornografico allinsaputa dei proprietari delle macchine infette. Secondo alcune stime di Sophos (www.sophos.it) pi del 60% dello spamming deriva da computer zombie. Si tratta di cifre impressionanti in considerazione dei danni che normalmente tali meccanismi arrecano ad unazienda: interruzione di attivit, danni alla rete, perdita di dati e informazioni, danni allimmagine (73) .
(72)White paper Sophos, ch essenziale bloccare i (73)White paper Sophos, ch essenziale bloccare Siete forse degli spammer ? Percomputer zombi, 2005, in www.sophos.it . Siete forse degli spammer ? Peri computer zombi,2005, in www.sophos.it

10.2 CYBERSQUATTING

Viene definita Cybersquatting la tecnica di accaparramento di nomi di dominio al fine di rivendere gli stessi ai legittimi titolari o a soggetti, in particolare imprese di grosse dimensioni e di chiara fama, che possano avere un interesse a quel particolare indirizzo nel www che potrebbe rappresentare una fonte di dirottamento dei possibili clienti. Con tale comportamento si vuole tentare di instaurare con le aziende bersaglio una trattativa tesa a rivendere alle stesse ad un prezzo notevolmente maggiorato gli spazzi oggetto di interesse. Con la denominazione hoax(74) si indicano quelle che volgarmente vengono definite bufale ossia dei messaggi contenenti notizie false ed ingannevoli. Alcuni di essi sfruttano tecniche di ingegneria sociale per essere rispedite dai destinatari ad altre persone implementando la diffusione del messaggio. Tra gli esempi ricorrenti si ricordano tutti quei messaggi che fanno leva sul tasto della compassione e della solidariet umana chiedendo aiuto per risolvere casi umanitari (totalmente inventati o ispirati da fatti di cronaca) attraverso il coinvolgimento di quante pi persone possibili. In questi casi vengono normalmente costruite le storie utilizzando come ingredienti abituali: bambini ammalati, gravi malattie, necessit daiuto. Si tratta di argomenti che coinvolgono immediatamente ed in modo diretto limmaginario e lemotivit umana in modo da indurre il ricevente ad inviare ad altri conoscenti il contenuto del messaggio. A questo tipo di email si affiancano quelli relativi alla diffusione di pericolosi malware che potrebbero danneggiare in modo grave i computer chiedendo di diffondere a tutti i conoscenti tali allarmi sulla sicurezza in quanto provenienti da importanti enti di ricerca o da aziende leader del settore. Il meccanismo utilizzato dai creatori di hoax quello di far leva sui sentimenti delle persone creando un enorme traffico di messaggi fasulli capace di occupare importanti spazi di memoria sui server di posta elettronica. In molti casi si tratta, quindi, della versione informatica delle c.d. catene di SantAntonio dove regnano vecchie leggende metropolitane restaurate e vestite di nuovo per il www, un esempio: lorigine di questa lettera sconosciuta, ma porta fortuna a chi la riceve. Chi rompe la catena sar sfortunato. Non tenere questa lettera. Fai dieci copie e mandale ai tuoi amici, vedrai che ti accadr qualcosa di piacevole entro quattro giorni se non romperai la catena. Anche in questo caso cambia il mezzo, dalla lettera all email, ma le tecniche utilizzate sono quelle gi utilizzate ben prima della diffusione di internet.
(74)Wikipedia encyclopedia (www.wikipedia.it) : voce hoax

10.3 HOAX

valore aggiunto che caratterizza in modo univoco la rete delle reti rispetto agli altri mezzi di comunicazione e diffusione della conoscenza. La possibilit di poter passare, quasi dialogando con il testo, da un argomento allaltro cercando approfondimenti e creando nuovi collegamenti logici ed intuitivi rende di particolare interesse questa realt. In qualche modo, lo stesso approccio al Sapere che muta favorendo unacquisizione di tipo dinamico, grazie alla quale i diversi livelli e le diverse fonti aumentano allaumentare dei link aperti. La rete internet, nel tempo, da inesauribile pozzo di informazioni si trasformata nel motore propulsore di una nuova economia che in essa trova la sua simbologia e la sua stessa ragione desistere. Bisogna ricercare, quindi, nel suddetto passaggio storico la data di nascita della dimensione economica del link e della conseguente esigenza di tutela giuridica delle realt in esame. Se da un lato non creano particolari problemi (economici e giuridici) i collegamenti che rinviano semplicemente alla home-page di un altro sito, essendo interesse dello stesso titolare aumentarne il pi possibile la visibilit, da un altro punto di vista sollevano seri dubbi alcune tecniche di collegamento tra siti. Tra le tecniche pi utilizzate, due appaiono di singolare interesse: deep-linking (collegamento con la pagina interna di un altro sito senza passare per lhome-page); framing (collegamento al contenuto di un altro sito visualizzato generalmente allinterno della cornice del sito linkante). Per capire le problematiche legate alle predette tecniche di collegamento si deve considerare la fonte primaria del valore/potere economico di un sito: il numero dei visitatori. In Italia le tesi circa la liceit o meno delle modalit di collegamento citate sono numerose e generalmente tese a ricondurre tali fenomeni, nelle espressioni pi esasperate, allinterno delle categorie giuridiche classiche, ad esempio si parlato di fenomeni di concorrenza sleale, di attivit confusoria diretta a colpire il valore dei segni distintivi dellazienda e in alcuni casi di violazione del diritto dautore. Tuttavia, queste ultime tesi non mettono in evidenza il bene che costituisce la base dellintegrit del sito e delle attivit che esso veicola: il traffico di visite generate e la sua visibilit nel web. Naturalmente, la tecnica di collegamento denominata deeplinking non deve essere aprioristicamente condannata come mette in evidenza parte della dottrina (C. ERCOLANO). Tuttavia, se oltre al semplice collegamento si mettono in piedi meccanismi atti a modificare il contenuto del sito linkato o idonei a creare confusione sullorigine del materiale i presupposti per definire lecito tale condotta mutano radicalmente. Considerazioni in parte diverse devono essere fatte per il framing, visto che la probabilit di commettere un illecito per coloro che utilizzano tale tecnica molto pi alta. Un approccio soft a tali strumenti il pi idoneo ad analizzare e comprendere la realt quotidiana del web, in cui sono gli stessi motori di ricerca a produrre una straordinaria quantit di traffico diretto alle pagine interne dei siti. In ogni caso, sia che si tratti di deep-linking che di framing opportuno esaminare la situazione in concreto (caso per caso) per verificare se e in quale misura queste attivit arrechino un danno giuridicamente rilevante al sito linkato. Ancora una volta il buon senso a dover indirizzare il professionista del web in mancanza di regole certe ed attualizzate ad un contesto dinamico e in continua evoluzione.

10.5 SPAMMING

10.4 DEEPLINKING E FRAMING.

E sufficiente collegarsi ad internet per rendersi conto di cosa sia un link e della sua rilevanza strutturale, strategica ed economica. Il link oggi pu essere considerato, a buon titolo, linsostituibile mattone di internet poich il collegamento ipertestuale a permettere lacquisizione di quel particolare

Si definisce spamming (75) uno dei fenomeni pi gravi ed allarmanti legati allutilizzo di Internet, in particolare si tratta dellinvio non sollecitato e richiesto di messaggi pubblicitari reiterato nel tempo. Le radici dello spamming devono rintracciarsi in tecniche commerciali particolarmente invasive utilizzate per pubblicizzare un prodotto e/o servizio. Si ritiene che una porzione estremamente consistente del traffico di informazioni veicolato dalla rete attraverso la posta elettronica sia rappresentato dallo spamming. Questa tecnica pubblicitaria oltre a rappresentare un comportamento illecito in s, rappresenta un danno consistente per i sistemi informatici aziendali che si devono preoccupare di gestire ed eliminare un numero elevatissimo di email spazzatura con dispendio di ingenti risorse.
(75)Wikipedia encyclopedia (www.wikipedia.it) : voce hoax

Febbraio 2011- 01 I quaderni del Campus

11

.Diritto

.Informatica
pensi allacquisto di un bene, coinvolge un numero di soggetti generalmente superiore alla norma; infatti, si possono aggiungere al venditore e ai normali vettori: la societ di marketing, il fornitore dellaccesso e quello del servizio Internet e molti altri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa semplice, ed allo stesso tempo complessa, transazione commerciale pu raccogliere, archiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti. Appare chiaro a questo punto che la rete pu generare dei dati anche allinsaputa dellutente attraverso lo studio dei suoi spostamenti. Oltre a ci, accanto a queste fonti di raccolta pi o meno visibili ve ne sono altre totalmente invisibili alle persone meno esperte (15), legate in particolare allesistenza dei c.d. cookies, briciole di informazione che inviate al nostro mezzo di navigazione consentono ad un certo sito web di riconoscere lutente e i suoi movimenti registrandone costantemente gusti ed abitudini. I cookies svolgono una funzione importante, ed in alcuni casi insostituibile, nel rapporto che si instaura tra utente e un determinato sito; si pensi, ad esempio, ad un collegamento-dialogo che si trovi gi ad un punto avanzato e che venga interrotto per un calo di tensione elettrica o semplice caduta della linea. Grazie a questi strumenti il sito, nei casi in cui tenga memoria delle operazioni predette, riconosce lutente e le operazioni possono riprendere dal punto interrotto. Per concludere questo breve ed incompleto discorso introduttivo si vuole tentare di delineare, solo per punti, la fenomenologia dei dati personali potenzialmente presenti e generati in Internet (16) I primi dati personali che sono consegnati, in alcuni casi ceduti come prezzo per il servizio, da un navigatore della rete sono quelli relativi agli abbonamenti ai diversi servizi di accesso ad Internet che vengono dai gestori ordinati in banche dati. Lelenco degli abbonati contiene, normalmente, i dati anagrafici e username, un codice di identificazione assegnato al singolo utente in cui non vi sono particolari restrizioni, almeno per le notizie di carattere generale, al suo accesso. Questo secondo archivio o livello di informazioni non accessibile al pubblico, perch proprio grazie alla combinazione dellinserimento contestuale di username e password che il gestore del sistema consente allutente di accedere ad Internet o ai servizi di cui fornitore. Agli archivi, o livelli di informazioni, predetti se ne aggiunge un altro: quello dei log, registrazione automatiche dei principali dati relativi ai collegamenti ed alle attivit svolte durante la connessione/navigazione. I log generati possono essere anche molto minuziosi e per questo necessario un attento controllo ed una forte limitazione dellutilizzo degli archivi in cui tali informazioni vengono custodite. Viene comunemente chiamato data log il registro elettronico tenuto dagli Internet provider e dal quale possibile risalireallidentit dei soggetti che utilizzano la rete soprattutto nel caso, in cui, attraverso la rete, siano consumati fatti illeciti (sia sotto il profilo civilistico sia sotto quello penalistico), onde trasmettere tali informazioni allautorit giudiziaria o, comunque, per esimersi da responsabilit civile nei confronti dei terzi (17). Una seconda serie di dati quella relativa alle informazioni personali contenute allinterno della posta elettronica. La posta elettronica consiste nella trasmissione di messaggi asincroni ad personam. Ogni soggetto dotato di una casella elettronica ha un indirizzo al quale i vari computer servitori delle reti (server), dopo aver fatto rimbalzare il messaggio da un punto allaltro della rete, fanno arrivare, in modo automatico, i messaggi indirizzati a tale utente (18) . Altri dati personali sono contenuti allinterno del world wide web, newsgroup, blog, facebook ed altri social network...

gli interessi di ogni singolo utilizzatore della rete, induce a compiere alcune riflessioni. Tuttavia, soprattutto nellambito delle indagini di mercato che la tecnica dei profili conosce una delle pi significative e proficue applicazioni. Lelaborazione delle strategie di marketing registra anzi uno dei suoi momenti cruciali proprio nella definizione di profili di consumatori-tipo. (13) . In estrema sintesi, la profilazione consente un duplice vantaggio: 1. tramite lelaborazione di alcuni dati (ad esempio: et, sesso, titolo di studio, professione, gusti personali) il produttore riesce ad orientare la produzione sulla base del risultato scaturente da tali indagini, ottenendo una migliore allocazione delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le probabili reazioni al prodotto dei consumatori bersaglio a cui questultimo diretto tolo di studio, professione, gusti personali) il produttore riesce ad orientare la produzione sulla base del risultato scaturente da tali indagini, ottenendo una migliore allocazione delle proprie risorse conoscendo in anticipo i gusti, gli interessi e le probabili reazioni al prodotto dei consumatori bersaglio a cui questultimo diretto; 2. ottenere un incremento delle vendite tramite una pubblicit mirata e quanto pi personale possibile, ritagliando i messaggi promozionali dei prodotti sul profilo del destinatario, futuro e probabile acquirente. La profilazione dellutente telematico sembra rispondere allattuale trasformazione del sistema di produzione e distribuzione delle merci, da sistema prevalentemente di produzione di massa a sistema di personalizzazione di massa (14) . Le nuove dinamiche del mercato sono sempre pi dirette alla ricerca di beni corrispondenti alle esigenze dei singoli e sempre meno segnate dallanalisi dei gusti di una massa informe e non definita. Lincisivit di questi nuovi approcci commerciali direttamente collegato al grado di pianificazione utilizzato nellelaborazione del piano pubblicitario di attacco vs i possibili/probabili clienti. L elemento necessario e discriminante in tali pianificazioni rappresentato dal numero e dalla qualit delle operazioni di archiviazione, elaborazione e catalogazione di dati utili. Internet, assieme ad altre espressioni delle nuove tecnologie, ha notevolmente contribuito a rendere meno onerose le operazioni di raccolta e gestione delle informazioni necessarie alla creazione di un profilo del consumatore tipo del prodotto da commercializzare. Una seconda caratteristica dela rete data dalla sua congenita indole interattiva. Internet necessita, a differenza della radio o della televisione, di una partecipazione dellutente che ne solleciti lattivazione e ne provochi la produzione di notizie. E lutilizzatore del servizio a scegliere lindirizzo dei propri interessi e della propria curiosit interagendo con la rete e con le informazioni in essa contenute. Questo rapporto biunivoco navigatore / Internet e Internet / navigatore produce esso stesso delle nuove informazioni che vengono archiviate ed elaborate.. Un soggetto che visita quotidianamente, ad una determinata ora del giorno, un particolare sito richiedendo la visualizzazione di un certo tipo di informazioni una fonte preziosa di dati. Queste comuni e frequenti situazioni possono rappresentare, per un fornitore di servizi, una proficua serie di informazioni utili al fine di modellare ed integrare la propria attivit sul cliente bersaglio ed eventualmente rendere la pagina web, estrinsecazione virtuale della sua attivit, una vetrina appetibile ad altre e diverse attivit commerciali che si rivelano, dallelaborazione dei dati cos ottenuti, interessanti per quel tipo, determinato, dutente. In questa breve panoramica introduttiva al difficile rapporto tra la tutela dei dati personali ed Internet si deve ricordare il carattere internazionale della rete. Non solo non ci sono frontiere, ma la stessa distanza fisica da un luogo all altro del mondo non rappresenta pi un problema perch virtualmente superata dalle nuove tecnologie. Per questo motivo, nella rete, spesso la scelta della via idonea a congiungere due punti non quella fisicamente pi breve; probabile, infatti, che un messaggio inoltrato da Roma e diretto a Firenze transiti per un vettore che si trovi a Parigi o a Londra.. Lultima caratteristica che viene sottolineata come rilevante da uno studioso del fenomeno, POULLET, la molteplicit di operatori che operano nella rete. Un esempio concreto, ancora una volta, pu essere utile per far percepire lo scenario: su Internet una attivit relativamente semplice, si pensi allacquisto di un bene, coinvolge un numero di soggetti generalmente superiore alla norma; infatti, si possono aggiungere al venditore e ai normali vettori: la societ di marketing, il fornitore dellaccesso e quello del servizio Internet e molti altri. Si ricordi, infine, che ogni singolo soggetto coinvolto in questa semplice, ed allo stesso tempo complessa, transazione commerciale pu raccogliere, archiviare ed eventualmente elaborare e cedere dati relativi agli utenti coinvolti. Appare chiaro a questo punto che la rete pu generare dei dati anche allinsaputa dellutente attraverso lo studio dei suoi spostamenti. Oltre a ci, accanto a queste fonti di raccolta pi o meno visibili ve ne sono altre totalmente invisibili alle persone meno esperte , legate in particolare allesistenza dei c.d. cookies, briciole di informazione che inviate al nostro mezzo di navigazione consentono ad un certo sito web di riconoscere lutente e i suoi

(11) Per comprendere la dimensione del problema della gestione sicura dei dati personali allinterno delle strutture aziendali si rinvia a: LUCA SANDRI, La tutela del dato personale in azienda, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forl, 2005, 25 e ss. Per approfondimenti sul punto si suggerisce la lettura di: POULLET, Riservatezza e sicurezza delle reti, in supplemento n.1 al bollettino n.5 della Presid. del Consiglio dei ministri. (13) MACCABONI, La profilazione dellutente telematico fra tecniche pubblicitarie ondine e tutela della privacy, in Il diritto dellinformazione e dellinformatica, 2001, 425. (14) MACCABONI, La profilazione dellutente telematico fra tecniche pubblicitarie ondine e tutela della privacy, op.cit., 426; SAMARAJIVA, Interactivity as though privacy matterei, in AGRE ROTEMBERG, Technology and Privacy: The new Landescape, Massachusetts, 1997, 277. (15) ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie informatiche e dellinternet (a cura di GIUSEPPE CASSANO), IPSOA, 2002, 184: Ad oltre trentanni di distanza dalla nascita di Internet, con il consolidarsi di pratiche. universalmente adottate dal popolo dei navigatori su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo di tutelare la riservatezza(omissis) si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. . universalmente adottate dal popolo dei navigatori su cui gli ordinamenti statali di tutto il mondo sono intervenuti nel tentativo di tutelare la riservatezza(omissis) si verifica una serie indefinita di situazioni e di occasioni in cui la privacy viene non solo violata, ma in alcuni casi anche messa al servizio di imprese che, nella migliore delle ipotesi, sono pubblicitarie e di marketing. . (16)SCALISI, Il diritto alla riservatezza, Milano, 2002, 307: possiamo distinguere, essenzialmente, quattro categorie di informazioni: a) dati personali relativi agli abbonati normalmente ordinati in banche datib)dati e informazioni personali relativi alla posta elettronicac) le notizie sul world wide e newsgroupd) dati relativi agli spostamenti sul world wide web. (17)MONDUCCI, Il trattamento dei dati personali nei contratti on line, in Diritto delle nuove tecnologie informatiche e dellinternet ( a cura di GIUSEPPE CASSANO), IPSOA, 2002, 593. (16) GRIPPO, Intenert e dati personali, in Privacy,op.cit., 296.

03

I quaderni del Campus 01 - Febbraio 2011

.Diritto
trojan horse assieme alle vulnerabilit dei server e di internet. La caratteristica di tale tecnica risiede nella combinazione di pi minacce per la realizzazione di un fine illecito. In particolare, numerosi malware aprono nel computer infetto porte di comunicazione con lesterno. Un malintenzionato, ad esempio, pu sfruttare tali vulnerabilit per sferrare un attacco o semplicemente per visualizzare, copiare, modificare il contenuto del sistema colpito. (62) Wikipedia encyclopedia (www.wikipedia.it) : voce spoofing (63) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311

.Informatica

9. LE TRUFFE DEL WWW

Uno dei maggiori pericoli provenienti da Internet quello relativo alle truffe che nascono e si diffondono sfruttando lanello pi debole di un qualunque circuito di sicurezza aziendale: luomo. Molte delle tecniche utilizzate per ricavare dati ed informazioni utili al raggiungimento di un obiettivo criminoso sono attinte sfruttando alcune delle pi semplici debolezze come lingenuit, il fattore sorpresa, la trascuratezza nel custodire le informazioni riservate, la voglia di parlare del proprio lavoro e dei traguardi raggiunti ed altre umane fragilit. In altre parole, il punto su cui i malintenzionati fanno leva per scardinare il sistema di sicurezza informatico spesso la fiducia dei dipendenti della stessa azienda. Di seguito si esamineranno alcune delle pi diffuse tecniche che risultano vincenti solo se si riesce a coinvolgere in modo efficace il soggetto bersaglio e le persone che ruotano attorno allazienda trasformando la futura vittima in un inconsapevole ed insostituibile complice (64) .
(64) Per un quadro delle pi pericolose ed allarmanti condotte criminali realizzate con la complicit delle tecnologie informatiche si rinvia al sito della polizia postale e delle comunicazioni http://www.poliziadistato.it/pds/informatica/index.htm

9.1 SOCIAL ENGINEERING

La figura dellingegnere sociale strettamente legata allanalisi dei comportamenti del personale aziendale e/o del singolo professionista/persona bersaglio al fine di carpire informazioni rilevanti per portare a termine il piano criminoso (sferrare un attacco o compiere una truffa). Con lespressione social engineering (65) si indica una tecnica che consente di superare le barriere tecnologiche poste a tutela dei sistemi informatici aziendali sfruttando la fiducia della vittima. Lo scopo di un social engineer pu essere cos sintetizzato: Lobiettivo quello di ottenere informazioni che permettano libero accesso allinterno del sistema e ad informazioni di valore che risiedono in quel sistema. (66) . Un social engineer utilizza le armi della finzione, dellinganno e della persuasione in quanto deve riuscire, nascondendo la propria identit, a ricavare informazioni (o porzioni di esse) senza che la stessa vittima sospetti di fornire dati idonei a rendere vulnerabile il sistema informatico. La raccolta delle informazioni dalla vittima pu richiedere anche diversi giorni e deriva in particolare da fonti quali email, telefono, fax, notizie reperibili in rete (si pensi facebook), analisi delle informazioni pubblicate nel sito o nel materiale informativo/pubblicitario, elenchi di informazioni pubbliche (albi professionali, camere di commercio, anagrafe comunale ...). La fase successiva quella della verifica e dello studio delle informazioni raccolte. Lingegnere sociale, infatti, deve impersonare una parte fisicamente e/o virtualmente per trarre in inganno la vittima. Tra le tecniche utilizzate vi sono, ad esempio, quelle di: cercare nella spazzatura alla ricerca di codici, numeri di telefono e altre informazioni utili; fingersi un cliente con poche conoscenze informatiche e chiedere informazioni dettagliate sul servizio erogato dallazienda; fingersi un dipendente della societ che ha venduto il software allazienda e chiedere di poter accedere (fisicamente o in remoto) alle macchine per installare nuove versioni o aggiornamenti e molte altre dettate dalla fantasia e dalle capacit tecniche e culturali dellingegnere sociale.
(65) Wikipedia encyclopedia (www.wikipedia.it) : voce social engineering

Il termine phishing (67) deriva dal verbo inglese to fish (lett. pescare) ed infatti la tecnica utilizzata in questo particolare tipo di truffa si basa principalmente sul lancio di unesca attraverso il contenuto di una email nel mare della rete ed attendere che ignari internauti abbocchino ad essa (68) . L obiettivo del phisher quello di ricavare informazioni e soldi dalla propria attivit truffaldina sfruttando, con ingegnosi stratagemmi, la fiducia e lingenuit degli utilizzatori meno esperti della rete. In Italia si segnalano, in questi ultimi tempi, numerosi tentativi di phishing posti ai danni dei clienti di istituti bancari. La tecnica utilizzata consiste nellinvio di un elevato numero di email a destinatari casuali con cui venivano informati i clienti che la banca civetta per ragioni tecniche (trasferimento del database dei clienti o del sito, verifiche periodiche o problemi tecnici) richiedeva loro di collegarsi al sito per compilare un questionario o semplicemente per confermare le proprie credenziali di autenticazione. Linganno risiede nel fatto che il sito cui si fa riferimento nel messaggio non il vero sito dellistituto di credito ma un sito clone sotto il diretto controllo dei truffatori. La pagina web su cui dirottata la vittime riproduce la stessa grafica del sito ufficiale della banca per trarre in inganno il malcapitato cliente che ha abboccato alliniziativa. Se in un primo momento i tentativi di phishing erano realizzati con email scritte con grossolani errori di ortografia e sintassi, oggi i nuovi tentativi di truffa vengono realizzati utilizzando un perfetto italiano con la conseguenza di moltiplicare esponenzialmente il numero delle possibili vittime. Per comprendere lefficacia di questo particolare tipo di truffe utile riportare alcune conclusioni contenute nel white paper Sophos sul phishing: Gli autori di questi attacchi di phishing sono consapevoli che la grande maggioranza dei destinatari non ha rapporti con lorganizzazione nominata nel messaggio email, ma questo ha poca importanza. Infatti, i phisher sanno bene che sufficiente che una piccola percentuale dei destinatari sia titolare di un conto presso lorganizzazione presa di mira per far s che l operazione sia valsa la pena. Anche se solo una minima parte dei destinatari cade nella rete dei phisher, questi ultimi possono ricavarne un enorme guadagno mentre il sito attivo (69) . L evoluzione della tecnica ha condotto molti phisher ad utilizzare assieme al phishing anche dei particolari malware di tipo trojan horse che consentono un accesso abusivo al sistema infetto. La nuova tecniche prende il nome di trojan phisher (sleeper bugs). Tali malware risedendo in memoria riescono a memorizzare, monitorando tutte le attivit, le informazioni degli utenti relative allaccesso ad un servizio di internet banking. Si abbandona cos il sito clone per agire in modo pi silenzioso e senza la necessaria partecipazione diretta della vittima. Unaltra forma di phishing particolarmente pericolosa, ed in notevole aumento, quella denominata spear-phishing con cui si inviano email che appaiono provenire da dipartimenti o settori della stessa azienda dellutente bersaglio. Le vittime, assicurate dal fatto che la comunicazione appare provenire dalla propria azienda, rivelano cos informazioni che possono essere utilizzate per sferrare un attacco o realizzare una truffa.
(66) MARIA LICIA FRIGO, Ingegneria sociale e psicologia: il fattore umano nel processo della sicurezza, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forl, 2005, 25:(67) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 311 (67) Wikipedia encyclopedia (www.wikipedia.it) : voce phishing (68) Per maggiori informazioni sul phishing si rinvia al sito www.anti-phishig. it in cui sono presenti molti esempi di truffe realizzate attraverso tale tecnica. (69)White paper Sophos, Il phishing e la minaccia alla sicurezza delle reti aziendali, 2005, in www.sophos.it

9.3 PHISHING

9.4 DIALER

L insidia in esame consiste nell inoltro di email contenenti promesse di enormi guadagni in cambio di un piccolo anticipo di denaro. Si tratta di un tentativo di truffa normalmente correlato ad attivit di spam. Lo scam spesso si presenta sotto forma di grossi trasferimenti di somme di denaro da Paesi esteri (famoso il Nigerian Scam) dietro il versamento di una cauzione oppure di ingenti vincite alla lotteria che saranno versate al malcapitato dietro pagamento di una famigerata tassa di entit irrisoria rispetto alla vincita.

9.2 SPAM

Con il termine dialer(70) sono denominati quei software programmati per far comporre al modem un numero di telefono dal computer in sono installati in modo automatico e senza lintervento dellutente. Tali software possono essere utilizzati illecitamente per arrecare un danno con un ingiusto profitto a favore di chi lo ha programmato e illecitamente diffuso. Tali malware, infatti, compongono un numero telefonico a tariffazione maggiorata con il conseguente ed inevitabile aggravio dei costi della bolletta telefonica (71) .
(70) (71) Wikipedia encyclopedia (www.wikipedia.it) : voce dialer Con la diffusione delle connessioni ADSL il rischio dialer si ridotto nel tempo.

Febbraio 2011- 01 I quaderni del Campus

10

.Diritto

.Informatica
4. LINSOSTENIBILE INSICUREZZA DELLA SOCIET DELLINFORMAZIONE: ALLA RICERCA DEL BENE GIURIDICO DA DIFENDERE.
La sicurezza informatica (23), definibile come la scienza che si occupa di studiare soluzioni idonee a fornire lo standard pi alto di sicurezza tecnicamente raggiungibile dei sistemi informatici, si deve far carico di rappresentare in una societ come quella odierna ad alto grado di informatizzazione il punto di frizione e tenuta tra la societ in ampio senso intesa e i crimini perpetuati attraverso o sulle nuove tecnologie informatiche e telematiche. In altre parole sicurezza tutto ci che permette ad unazienda di restare tale. (Omissis) Oggigiorno qualsiasi azienda, dalla media impresa alla grande multinazionale, affida gran parte dei propri processi di business ai sistemi informativi e quindi alle informazioni (dalla fatturazione ai processi produttivi vitali). Quando un evento dannoso, sia esso di origine naturale o doloso, colpisce i sistemi che gestiscono le informazioni di cui lazienda ha bisogno, quasi sempre si traduce in una brusca interruzione dei processi aziendali e quindi del fatturato (24) . Per tale motivo appare sempre pi necessario diffondere una cultura della sicurezza in azienda gi presente, per altri aspetti, nella vita quotidiana in cui, ad esempio, nessuno: a) si avventurerebbe da solo, senza difesa, di notte in un vicolo malfamato di una sperduta e sconosciuta citt; b) darebbe le proprie informazioni personali, pi o meno sensibili, ad un soggetto sconosciuto che le chiedesse per strada; c) concederebbe, in genere, la propria fiducia se non dopo aver attestato la solidit del rapporto con listituzione o la persona che la richiede. Il primo problema da risolvere quello di individuare, anche se in modo generale ed astratto, il bene oggetto della politica di sicurezza. Bisogna, in altre parole, andare al cuore del problema potando ed eliminando dalla ricerca tutto quello che si manifesta solo come riflesso e conseguenza di un bene di fondamentale importanza per lesistenza stessa della realt aziendale. Il problema della c.d. privacy (25) e quello della sicurezza dei dati personali non sono altro che esternazioni e specificazioni tematiche di quello che in realt loggetto della sicurezza: il dato informatico. Per esso, ai fini di questo scritto, convenzionalmente si deve intendere quellinsieme di bit che avendo la possibilit di essere conservato, manipolato o semplicemente veicolato tramite un sistema informatico o telematico necessita di un circuito di sicurezza che ne garantisca una complessa serie di parametri. Innanzitutto, deve essere garantita la disponibilit e lintegrit dei dati a chi ne ha diritto attraverso una serie di politiche atte a facilitare laccesso e il reperimento dei dati affiancate da accorgimenti tesi a ridurre il rischio di modifiche accidentali o non autorizzate. La disponibilit deve essere intesa parte essenziale del processo di sicurezza costituendone il limite oltre il quale le ristrettezze e i confini imposti per garantire lintegrit del dato non devono o possono andare: a che serve tutelare e difendere, impedendo o rendendo difficoltosa la disponibilit da parte degli aventi diritto, un bene che tale solo in virt del suo utilizzo e della rapidit con cui concretamente fruibile? Il rapporto tra sicurezza e disponibilit del dato informatico un rapporto mezzo/fine: il dato rilevante perch la sua disponibilit sicura. Per quanto riguarda lintegrit del dato informatico, il sistema sicuro deve garantire che esso possa essere sempre disponibile in modo integro. Per garantire tale parametro il sistema deve munirsi non solo di meccanismi tesi a proteggere il dato dallesterno e dai soggetti non autorizzati a disporne ma anche e, principalmente, da un nemico pi sfuggente e di cui difficile prevedere in anticipo le mosse e i bersagli: lo stesso utente legittimato (robustezza del sistema). La tutela contro le cancellazioni o le modifiche che per casualit o inesperienza possono essere causate da un utente non accorto o inesperto spesso producono, anche nel quotidiano rapporto con le nuove tecnologie, danni gravi e costosi. Tra i parametri rientranti e costituenti la sicurezza informatica, sempre pi sintesi di caratteristiche e propriet eterogenee piuttosto che entit monotematica, rientrano, inoltre, lautenticazione e la riservatezza. Autentico ci che: risponde a verit la cui conformit attestata da un notaio o da altro pubblico ufficiale a ci autorizzato e che fa fede come loriginale; vero, genuino, schietto; attribuito in modo irrefutabile a un autore, non imitato n falsificato (26) . Nell ambito della sicurezza informatica, autentico generalmente utilizzato nellaccezione attribuente la paternit di un dato ad un soggetto ben determinato. Solo attraverso la certezza che la richiesta, o la risposta, provenga dal soggetto avente diritto si possono ipotizzare rapporti qualificabili come sicuri. Specificando ulteriormente, per quanto riguarda laccesso necessario che il sistema possa identificare e riconoscere lutente al fine di poter mettere il soggetto autorizzato nelle condizioni di esercitare il proprio diritto alla disponibilit del dato. Tra i mezzi pi diffusi si possono rinvenire quelli che si basano sulle password, sui sistemi biometrici e su smart card supporto di diverse tecnologie Altra sfaccettaturadainserire allinterno del pi ampioconcettosicurezza informatica

3. IL COMMERCIO NELLA SOCIETA DELLINFORMAZIONE: UNA QUESTIONE DI FIDUCIA E SICUREZZA.

Nella vita di una moderna azienda la sicurezza dovrebbe occupare un ruolo di primaria importanza. Parlare di sicurezza, tuttavia, non vuol dire realizzarla concretamente nelle quotidiane dinamiche commerciali. La dimensione della sicurezza informatica consapevolmente trascurata e se realizzata viene semplicemente identificata dagli organi apicali e dirigenziali come un costo. Probabilmente, questo approccio superficiale determinato dalle scarse informazioni sullentit dei rischi che gravano sullazienda, in generale, e sul patrimonio informativo della stessa, in particolare. E opportuno ricordare, infatti, che nella societ dellinformazione i beni da proteggere sono sempre pi immateriali e che i rischi legati allintegrit dei suddetti beni non sono facilmente trasferibili con sistemi di tipo assicurativo poich si tratta di beni dotati di un intrinseco e non fungibile valore. Uno dei pregi del codice in materia di protezione dei dati personali (D.Lgs. 196/03) quello di aver posto allattenzione degli amministratori delle piccole e grandi aziende il problema della sicurezza dei dati personali e della intrinseca fragilit (19) . La sicurezza informatica e la conseguente difesa dai crimini informatici rappresentano, per le aziende che hanno deciso di fare commercio elettronico o semplicemente di utilizzare Internet come strumento di lavoro per migliorare lefficienza produttiva, il primo e reale moltiplicatore di fiducia. La difficolt di ricercare ed offrire una definizione idonea ad esplicitare cosa oggi rientri nellespressione commercio elettronico risiede nel fatto che tale realt soggetta al continuo e frenetico evolversi della tecnologia informatica e delle conseguenti nuove ed imprevedibili possibilit che, con cadenza sempre pi ravvicinata, sono offerte allattenzione degli operatori commerciali e degli stessi consumatori (20) . Il commercio elettronico non , quindi, solo un fenomeno squisitamente economico che trova in Internet una formidabile rotta commerciale capace di creare relazioni tra mercati fisicamente lontani, ma diviene, anche e soprattutto, un fenomeno sociale ed in ampio senso culturale. Linstaurazione di rapporti commerciali per via informatica veniva effettuata con successo gi prima della diffusione capillare della rete Internet. Tuttavia, tali procedure negoziali potevano essere condotte solo tramite linvio di dati attraverso un sistema chiuso al quale gli operatori avevano preventivamente deciso di aderire, accettando le regole e i protocolli per mezzo dei quali condurre e concludere le diverse operazioni (21). Levoluzione della tecnica informatica e dello stesso costume sociale ha determinato, nel tempo, laffermarsi di una nuova visione di Internet e delle sue potenzialit imprenditoriali. Nel diffondersi di una fitta rete di relazioni commerciali che trovano on-line un formidabile momento di incontro tra domanda e offerta di prodotti e servizi, si pu individuare il momento di passaggio da un commercio elettronico di tipo chiuso, in cui gli operatori dovevano preventivamente entrare a far parte del sistema accettandone le regole, ad un commercio elettronico aperto, in cui tutti coloro che intendono effettuare transazioni di qualsiasi natura possono, senza preventivamente dover entrare a far parte di una comunit precostituita e in un certo modo garantita, accedere al mercato globale ed alle sue offerte. Lattuale e il futuro sviluppo di questo particolare commercio rimane per legato alla soluzione dellannoso problema di generare, ancor prima che profitto (in termini economici), fiducia nei consumatori verso lutilizzo dei mezzi di pagamento elettronici. La sicurezza dei dati informatici e delle reti che li veicolano oggi il maggiore problema da risolvere per garantire un corretto sviluppo delle nuove tecnologie in e per lazienda. Un moderno staff manageriale deve continuamente confrontarsi, infatti, con uno scenario mutevole di rischi provenienti dallinterno e dallesterno della struttura aziendale (22). Ancora una volta, cos come nel passato per altri tipi di mercati, la misura dellaffidamento nella sicurezza del mezzo che consente alla transazione di giocare un ruolo determinante nellaffermazione di un commercio che trova la sua linfa vitale in un flusso di dati ed informazioni veicolati attraverso una rete informatica. Se la sicurezza dei mezzi di pagamento fruibili attraverso Internet alla base del futuro del commercio elettronico, laffermarsi di questultimo rappresenta, a sua volta, la premessa logica dello sviluppo della stessa societ dellinformazione. Non comprendere fino in fondo il legame che unisce in modo indissolubile queste due realt, vorrebbe dire trascurare una rilevante chiave di lettura per comprendere le vicende storiche legate alla produzione normativa, nazionale ed internazionale, di questi ultimi anni in tema di utilizzo delle nuove tecnologie informatiche, in generale, e di Internet, in particolare.
(20)In tema di commercio elettronico si rinvia per ulteriori approfondimenti a:AA.VV., Analisi economica del diritto privato, Milano, 1998; G. ALPA- V. LEVI, I diritti dei consumatori e degli utenti, Milano, 2001; A. ANTONUCCI, E-Commerce, La direttiva 2000/31/CE e il quadro normativo della rete, Milano, 2001; T. Ballarino, Internet nel mondo della legge, Padova, 1998; COMMANDE G. SICA S., Il commercio elettronico.Profili giuridici, Torino, 2001; DELFINI F., Contratto telematico e commercio elettronico, Milano, 2002; C. SARZANA DI S. IPPOLITO- F., Profili giuridici del commercio via Internet, Milano, 2000; FULVIO SARZANA DI S. IPPOLITO, I contratti di Internet e del commercio elettronico, Milano, 2001 (21)PARODI-CALICE, Responsabilit penali e Internet, Milano, 2001,169 (22)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzione, Roma, 2005, 17.

04

I quaderni del Campus 01 - Febbraio 2011

.Diritto
(50)SISTO, Le diverse modalit di distribuzione del software: freeware, shareware e trial version, op.cit., 1063: omissisil freeware, software con riserva di copyright, il quale non abbinato ad una definizione precisa, ma in generale viene inteso come software gratuito, del quale per, elemento importantissimo, non viene reso il codice sorgente. Infatti lautore di questo tipo di software concede il diritto di riprodurlo e distribuirlo solo in ipotesi molto rare, accordando raramente il diritto di modificarne una parte, realizzando cos una sorta di ibrido tra software libero e proprietario. Con il suffisso free si tende ad indicare poi solo la gratuit del prodotto, non invece la totale libert di modificazione e diffusione concessa allutente/utilizzatore come avviene nel caso del software libero. (51)SISTO, Le diverse modalit di distribuzione del software: freeware, shareware e trial version, op.cit., 1064: Nellampia categoria di software non libero rientra sicuramente la tipologia dello shareware, particolare forma di programma per elaboratore, attraverso la quale il titolare concede allutente la possibilit di ridistribuzione e di utilizzare per un tempo determinato il prodotto. Attraverso lutilizzo del try & buy sar possibile pertanto prendere visione del prodotto nella sua integrit e nel caso in cui si fosse soddisfatti delle caratteristiche proposte, comprarlo, versando il danaro richiesto direttamente nelle tasche del produttore.. (52)ROSSI, Lo spyware e la privacy, op. cit., 188: negli ultimi temi si sta diffondendo tra le case produttrici di software una modalit di distribuzione particolare, e cio il cosiddetto adware. Viene quindi permesso lutilizzo gratuito e a tempo indeterminato di un programma a patto che lutente si sottoponga ad una serie di comunicazioni a carattere promozionale, in genere sotto forma di banner pubblicitari che compaiono nel proprio browser o direttamente nel programma in questione. I banner pubblicitari vengono prelevati da un server web dedicato, stabilendo un collegamento tra il computer e il server web. Per ogni banner visualizzato nel programma, il suo autore percepisce un compenso che, seppure modesto, concorre ad un business miliardario se moltiplicato per le decine di migliaia di persone che utilizzano quel programma. (53) CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.. (54)Per la definizione di domini di sicurezza appare opportuno riprendere quanto scritto in merito da CIAMBERLANO, Spyware story, op.cit.: I programmi eseguibili in un sistema operativo sono solitamente confinati in quelli che vengono chiamati in gergo informatico domini di protezione; ciascun dominio (che astrattamente utile visualizzare come una zona geografica dai limiti invalicabili al cui interno vengono confinate le applicazioni) ha il compito di regolamentare le azioni che ciascun software pu compiere, seguendo specifiche politiche di sicurezza. Semplificando molto la reale situazione, esempi di domini possono essere: 1) Insieme dei programmi installati dallutente sul calcolatore; questi possono compiere la maggior parte delle azioni, supponendo (ottimisticamente) che lutilizzatore non installi software dannoso sul proprio computer. 2) Insieme dei programmi allegati a pagine web (questultime possono infatti contenere applet java, activeX, animazioni flash ed altro, ovvero piccoli software che svolgono compiti pi o meno utili; ad esempio molte chat online utilizzano applet java per gestire il flusso di messaggi); queste applicazioni sono sottoposte a forti restrizioni: non possono leggere o scrivere sul disco rigido del computer ospite (per evitare la lettura o la cancellazione di documenti riservati), n su questo possono installare o eseguire programmi (per evitare che questi ultimi, i quali godono di maggiori privilegi, vengano utilizzati per compiere azioni dannose). Per un esempio reale di applicazione del concetto di dominio si pu sbirciare nelle impostazioni di sicurezza di internet explorer, avendo cura di non modificare le impostazioni predefinite a meno di non essere sicuri sugli effetti del cambiamento: dal men strumenti di explorer selezionare opzioni internet quindi il tab protezione.(55)DEVOTO- OLI, voce Verificabilit, op. cit.. (55)GRISENTI , Spyware e domicilio informatico, www.interlex.it/attualit/C. (56)Si pensi alla diffusa pratica pubblicitaria dello spamming, invio martellante e diffuso di messaggi pubblicitari diretti a un numero elevato di indirizzi email, rastrellati on-line utilizzando varie modalit operative. Sul punto si rinvia a quanto scritto da ERCOLANO, Spamming: una nuova forma di pubblicit dannosa per i consumatori?, pubblicato in questo numero del supplemento, 44 ss. (57)GRISENTI, Spyware: quanti reati con i programmi indiscreti, in www.interlex.it/attualit/ grisenti.htm : In tempi di grande attenzione per la privacy, la libert personale e la tutela del lavoratore, la Rete si fa veicolo di pericolosi strumenti che permettono anche al pi sprovveduto di eludere proprio tali forme di tutela. Navigando attraverso alcuni dei pi comuni siti dedicati al download di file (Volftp, Tucows, e molti altri), si possono reperire programmi specificamente dedicati a carpire, in maniera invisibile e drammaticamente efficiente, dati personali, password e ID dellutente oppure a controllare ogni attivit, ivi inclusa la corrispondenza e i dati personali, del dipendente. Sembra impossibile, eppure limpreparazione alle problematiche giuridiche che la Rete, con la sua ultraterritorialit, comporta, pu avere anche queste conseguenze.

.Informatica

8. ATTACCHI INFORMATICI
La guerra quotidiana tra chi attacca un sistema e chi lo difende combattuta sul campo di battaglia di una rete di computer tanto a livello aziendale quanto a livello globale. Gli obiettivi di un attacco al sistema informatico di unazienda possono essere diversi: 1. vandalici o dimostrativi; 2. estorsivi; 3. di ritorsione e/o rappresaglia (provenienti, ad esempio, da concorrenti o ex-dipendenti); 4. di captazione di segreti industriali o di informazioni riservate; 5. di alterazione documenti e dati; 6. di paralisi, pi o meno estesa, delle attivit aziendali. Le informazioni possono essere custodite allinterno di computer aziendali (in una condizione di stasi) oppure essere veicolate attraverso la rete locale o internet (in condizione di transito (58) ). In base allo stato in cui si trovano, le informazioni sono sottoposte a modalit di attacco diverse in ragione delle diverse vulnerabilit a cui sono soggette. Le principali modalit di attacco possono essere ricondotte a: denial of service, sniffing, hijacking, spoofing.

8.1 DENIAL OF SERVICE

L attacco DoS (59) (lett. Interruzione del Servizio) un particolare tipo di attacco il cui obiettivo quello di mettere fuori servizio, ossia rendere inutilizzabile, la risorsa oggetto dellattacco. Numerose sono le condotte che possono assicurare il raggiungimento del suddetto obiettivo. In generale un attacco denial of service mira a consumare le risorse del sistema, impedendo agli altri utenti di utilizzarle (60) . Una delle tecniche pi utilizzare quella di saturare o comunque sovraccaricare il server fornitore dei servizi aziendali attraverso la generazione di un enorme traffico di richieste. Un altra modalit DoS, molto pi invasiva e sintomatica della carenza di un adeguato sistema di sicurezza quella ottenibile penetrando il sistema informatico aziendale e cancellando o modificando i file di gestione dei servizi sul server. Il superamento dei circuiti di sicurezza si pu realizzare sfruttando le vulnerabilit presenti nel software utilizzato dal sistema bersaglio come dei bug di programmazione o di configurazione delle politiche di sicurezza.
(59) Wikipedia encyclopedia (www.wikipedia.it) : voce denial of service (60) Kris Jamsa, Hacker Proof, Sicurezza in Rete, Milano, 2002, 296;

8.2 SNIFFING

Sniffing (61) (lett. intercettazione) un tipo di attacco particolarmente insidioso teso ad intercettare i dati in transito sulla rete. Tale tecnica normalmente realizzata attraverso lutilizzo di particolari software oppure attraverso la deviazione forzata del flusso dei pacchetti di informazione in modo da dirottarli su computer controllati dal soggetto attaccante. Lattivit criminosa in questo caso normalmente tesa ad intercettare e non modificare il contenuto delle informazioni. L obiettivo del malintenzionato quello di mettersi in ascolto in attesa di informazioni interessanti come password, documenti riservati ed altre comunicazioni degne di attenzione o comunque sfruttabili per sferrare un attacco pi intenso e gravido di conseguenze.
(61) Wikipedia encyclopedia (www.wikipedia.it) : voce sniffing

8.3 HIJACKING

Lattacco di tipo hijacking ha come obiettivo la modifica delle informazioni trasmesse ed intercettate senza che il mittente e il destinatario se ne possano accorgere. Si tratta di una tecnica piuttosto complessa che viene utilizza per compromettere la stessa integrit delle informazioni inviate. Quando un tale tipo di attacco posto in essere i pacchetti di informazioni inviate dal client saranno intercettati, modificati e di nuovo instradati dallattaccante. Le informazioni cos modificate raggiungeranno il destinatario senza che questultimo e il mittente possano accorgersi di quanto accaduto. Con il termine spoofing (62) indicato un tipo di attacco utilizzato per falsificare lidentit del mittente del messaggio o dei file allegati. Si pu cos tentare di sfruttare lidentit falsa per muoversi nellanonimato oppure per ottenere vantaggi o arrecare danni allinsaputa della vittima. Lo sniffing un attacco passivo dove lhacker si limita a monitorare i pacchetti che attraversano la rete. Al contrario lo spoofing un processo attivo in cui lhacker tenta di convincere un altro sistema che i messaggi da lui inviati provengono da un sistema legittimo. In altre parole, utilizzando lo spoofing, lhacker simula di essere un altro utente o un altro sistema (63) . Si tratta di attacchi informatici che sfruttano le caratteristiche di virus, worm,

8.3 SPOOFING

Febbraio 2011- 01 I quaderni del Campus

09

.Diritto

.Informatica

quella relativa alla riservatezza del dato: un sistema non pu definirsi sicuro se consente a chi non ha diritto di accedere ai dati in esso custoditi, in modo assoluto o in misura pi ampia e diversa da quella autorizzata. Se appare facile identificare i meccanismi e i limiti da imporre per distinguere coloro che possono da coloro che non possono accedere ad un determinato dato, diviene difficile identificare e porre dei limiti a chi pu accedere allo stesso in misura variabile temporalmente e quantitativamente. Inoltre, si pu accennare ad unaltra caratteristica che acquista sempre maggiore rilevanza nel contesto della societ nata online: la verificabilit. Lattributo della verificabilit nasce dal fatto che il dato informatico possa, e debba, essere suscettibile di verifica, ossia di un<<operazione di controllo per mezzo della quale si procede allaccertamento di determinati fatti o risultati nel loro valore e nelle loro modalit(27)>> Il problema della sicurezza relativo non solo al momento della paternit dellatto, ma anche alla non modificabilit o alterabilit silente del dato in un tempo successivo alla creazione dello stesso. A differenza di un oggetto materiale, ad esempio un documento scritto, in cui visibile una correzione o alterazione successiva allultimazione dello stesso, nelloggetto digitale ci che appare a prima vista la sua estrinsecazione informatica in cui le modifiche ed alterazioni precedenti non sono facilmente rintracciabili da un soggetto non esperto e senza le opportune dotazioni software e hardware. Un sistema pu essere definito sicuro quando, mantenendone traccia, riesca a fornire un quadro verificabile delle operazioni compiute sui dati da esso custoditi e/o veicolati. Livelli maggiori di sicurezza corrispondono, ad esempio, al fatto di facilitare attraverso tracce registrate levidenziazione del legame causale fatto/autore. Un ulteriore e necessario requisito rintracciabile da WILLIAM STALLINGS nella c.d. non-repudiation . Tale requisito, in termini generali, non dovrebbe permettere il rifiuto e/o la ripudiabilit di un dato trasmesso sia al mittente e sia al destinatario. Da ci deriva: quando il dato stato trasmesso, il ricevente pu provare che lo stesso sia stato inviato dal mittente autorizzato ad inviarlo e, in modo speculare, quando il dato ricevuto, il mittente pu provare che lo stesso sia stato ricevuto dal ricevente autorizzato. In conclusione, nella progettazione e nella valutazione di un sistema informatico aziendale, per i motivi illustrati, deve essere tenuto in forte considerazione il problema della sicurezza in tutte le sue diverse sfaccettature. Vi lobbligo, infatti, di creare, aggiornare e valutare, alla luce delle inesorabili e continue innovazioni tecnologiche, i diversi meccanismi idonei a proteggere i dati senza impedirne o limitarne la fruibilit da parte di chi ha un diritto, pi o meno ampio, daccesso agli stessi.

5. CRIMINI INFORMATICI: DALLE LISTE NERE AL CODICE PENALE ITALIANO (29).

La rapida diffusione degli strumenti informatici ha indotto nella prima met degli anni Ottanta i governi degli Stati, dove maggiormente si era realizzato nei tessuti sociali un processo di neovascolarizzazione tecnologica, a porre particolare attenzione al fenomeno dei crimini informatici (30) . A tal fine nel 1985 fu costituito, in seno al Consiglio dEuropa, un Comitato ristretto di esperti con lo scopo di affiancare al preesistente Comitato per i problemi criminali un organo con conoscenze atte ad affrontare le nuove sfide che la criminalit sempre pi organizzata e sempre pi transnazionale lanciava alle istituzioni nazionali ed internazionali. Sulla base di un attento esame della realt criminale informatica e telematica attuale e delle proiezioni future, non certo confortanti, vennero stilate due liste nere. Allinterno di ciascuna furono inseriti tutti quei comportamenti avvertiti come offese perpetrate con e sulle nuove tecnologie. Lelemento comune ai suddetti illeciti era rappresentato dal fatto che tutti, necessariamente, richiedevano una stretta collaborazione tra gli Stati membri al fine di fornire unefficace risposta preventiva e repressiva. La cooperazione tra gli Stati non appariva come una semplice scelta politica, ma simponeva come lunica modalit operativa realmente efficace per evitare che ogni singolo intervento nazionale si risolvesse in un semplice placebo utile solo per rassicurare gli animi e le paure dellopinione pubblica. Le due liste di proscrizione furono cos distinte (31) : Lista minima: elenco di comportamenti e fatti offensivi ritenuti talmente gravi da richiedere un immediato e non prorogabile intervento del diritto penale, extrema ratio di ogni ordinamento giuridico statale (32) ; Lista facoltativa: elenco di comportamenti e fatti ritenuti non eccessivamente offensivi, ma che tuttavia richiedevano un intervento del legislatore nazionale (33). Il fatto che, nei vari Stati membri, non vi sia un numero elevato di procedimenti penali tesi allaccertamento ed alla repressione dei c.d. crimini informatici che riesca ad andare a buon fine, non vuol dire che tali violazioni non siano perpetrate in modo diffuso E vero, presumibilmente, il contrario; infatti, in numero elevato, ad esempio, sono violate le norme indicate allart. 615 ter e quelle relative alla tutela penale della privacy da parte di chi, inserendo allinterno di programmi generalmente freeware ed.

hardware e software di tipo spyware, raccoglie dati personali allinsaputa dellinternauta. Il tema della c.d. cifra nera dei reati informatici realmente perpetrati si presenta come un fenomeno di interesse globale ed esponenzialmente in crescita che, purtroppo, le autorit statali (governative, legislative e giudiziarie) non riescono ad arginare. La diffusione di particolari software facilmente reperibili oline permette a pseudo-hacker, senza alcun bagaglio tecnico di grado elevato, di poter attuare impunemente comportamenti offensivi contro la privacy e la sicurezza dei sistemi informatici e telematici di istituzioni pubbliche, aziende private o semplicemente di un personal computer bersaglio. Bisogna prendere coscienza, quindi, che le violazioni informatiche, in particolare quelle relative alla violazione del diritto alla protezione dei dati personali e del c.d. domicilio informatico, sono poste in essere ad un ritmo e con una cadenza del tutto simile a quelle relative alle pi comuni violazioni del codice della strada.Il vero dramma risiede nel silenzio con cui la vittima del crimine informatico decide di reagire. Molte aziende preferiscono, ad esempio, incassare il colpo e rivolgersi, per porre rimedio allinsicurezza del loro sistema, a consulenti tecnici privati capaci di migliorare la protezione dei loro dati e delle strutture pi riservate piuttosto che rivolgersi alle forze dellordine. La paura che si cela dietro alla pubblicit della notizia del crimine subito quella di determinare un ulteriore grave danno, in alcuni casi superiore a quello gi subito, allimmagine e al profitto della stessa societ-vittima. In effetti, la societ che ha subito un accesso abusivo affrontando dei costi tenter di rendere maggiormente sicuro il proprio sistema, anche se verosimilmente lautore di tale forma di reato, andato a buon fine senza conseguenze giudiziarie, potr avere un forte stimolo psicologico a riprovare lesperienza, cos vanificando di fatto laggiornamento dei sistemi di sicurezza(34) . Laumento vertiginoso della c.d. cifra nera dei reati informatici determinato, inoltre, dalla mancanza di una diffusa consapevolezza dellestrema vulnerabilit di un sistema informatico rispetto ad attacchi portati a termine da soggetti esperti. Gli autori di un crimine informatico normalmente, dopo aver compiuto il reato tendono a dedicare particolare cura alla cancellazione delle tracce lasciate nel sistema-bersaglio. Questo modo di procedere determina, in modo paradossale, il fatto che gli attacchi o gli accessi abusivi pi eclatanti e pubblicizzati, spesso dagli stessi autori, siano meno gravi e pericolosi di quelli attuati in modo silente, perch perpetrati da soggetti che non hanno intenzione di violare il sistema per fini ludici o ideologici (35) , ma semplicemente per scopi criminali.
(21) Per una sintesi dei pi rilevanti adempimenti in materia di privacy allinterno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005 (22) DEVOTO- OLI, voce Verificabilit, op. cit.. (23)Lintero paragrafo trae spunto dalla lettura di: PERRI, Unintroduzione allinformation security, in Ciberspazio e Diritto, 2001, vol. 2, n. 3-4, 337. (24)AA.VV., Inside Attack, Tecnich di intervento e strategie di prevenzione, Roma, 2005, 13. La frase estrapolata dallintroduzione a cura di Corrado Giustozzi. (25)Per una sintesi dei pi rilevanti adempimenti in materia di privacy allinterno delle imprese si rinvia a: G.DI RAGO, La privacy e le imprese, Matelica, 2005. (26)DEVOTO-OLI, Il dizionario della lingua italiana, UTET. (27)DEVOTO- OLI, voce Verificabilit, op. cit.. (28)WILLIAM STALLINGS, Cryptography and network security, 1999, 5. (29)Per un approfondimento della disciplina italiana relativa ai crimini informatici si rinvia a: G. FAGGIOLI, Computer crimes, Napoli, 1998: P. GALDIERI, Teoria e pratica nellinterpretazione del reato informatico, Milano, 1997; E. GIANNANTONIO, Manuale di diritto dellinformatica, Padova, 1997; C. Sarzana, Informatica e diritto penale, Milano, 1994; Ceccacci, Gianfranco, Computer crimes : la nuova disciplina sui reati informatici, Milano 1994; Lorenzo Picotti, Il diritto penale dellinformatica nellepoca di internet, Padova 2004; Lorenzo Picotti, Studi di diritto penale dellinformatica, Verona, 1992 (30)Per un approfondimento del tema si rinvia ai siti: www.crimine.info; www.dirittoesicurezza.it; www.criminologia.org; www.ictlaw.net; www.interlex.it; www.pomante.it; www.penale.it. (31)FAGGIOLI, Computer Crimes, Napoli, 1998, 67 ss.; PERRONE, Computer Crimes, in AA.VV., Diritto & Formazione, Studi di Diritto Penale (a cura di CARINGELLA e GAROFOLI), 1603. (32)Esempi di comportamento offensivo contemplato nella Lista minima: frode informatica, falso informatico, accesso non autorizzato a sistemi informatici, c.d. sabotaggio informatico, danneggiamento dei dati e dei programmi informatici, lintercettazione non autorizzata (33)Esempi di comportamenti offensivi appartenenti alla Lista facoltativa: utilizzazione non autorizzata di un elaboratore elettronico, utilizzazione non autorizzata di un programma protetto, spionaggio informatico (34)PARODI CALICE, Responsabilit penali e Internet, Milano, 2001, 55. Sul punto si consiglia la consultazione dei seguenti testi: POMANTE, Internet e criminalit, Torino, 1999; MONTI, Spaghetti Hacker, Milano, 1997. (35)Si pensi alleterna sfida uomo-macchina o a quella pi consistente ed ideologica degli hacker; questi ultimi si rivelano, in alcuni casi, utili alle aziende per testare, in modo gratuito, i loro sistemi al fine di migliorarne la sicurezza e prevenire attacchi e accessi ben pi gravi di soggetti che con gli hacker hanno in comune solo lutilizzo delle nuove tecnologie.

05

I quaderni del Campus 01 - Febbraio 2011

.Diritto
Nel momento in cui la semplificazione dei meccanismi di comunicazione e la tendenza allutilizzo commerciale delle informazioni personali si trovano ad interagire con queste nuove forme di distribuzione commerciale dei programmi nasce e si diffonde il software spyware. Dal brodo primordiale della distribuzione del software in Rete nasce cos una particolare moneta di scambio: i dati personali. Sin dai primi anni della diffusione di Internet lutente medio aveva a disposizione strutture di comunicazione sufficientemente potenti, ma quello che ancora non era abbastanza sviluppato era il settore delle infrastrutture idonee ad utilizzare al meglio le potenzialit gi presenti nella quotidianit tecnologica della vita privata e professionale (48). Numerosi servizi, da sempre presenti sul Web come la posta elettronica, non erano facilmente utilizzabili a causa della carenza strutturale di programmi, c.d. applicativi, capaci di semplificare e valorizzare tali potenti strumenti. Molti programmatori/navigatori spinti dallinsufficienza degli applicativi e dalla speranza non tanto di ricavare vantaggi finanziari, quanto di riuscire ad ottenere il plauso e il rispetto del popolo della rete per leleganza e la potenza con cui il loro programma risolveva un particolare problema, si cimentarono nella creazione di nuove applicazioni che semplificassero le azioni pi comuni: sfruttando la sorprendente capacit di comunicazione del web, tali creazioni potevano essere condivise e diffuse agli altri naviganti. I programmi utilizzabili senza limiti sono chiamati freeware(49) . Quello appena descritto pu essere considerato la premessa logica e causale dei successivi passi che condurranno ad un uso, sempre meno free, di Internet finalizzato alla distribuzione del software (50) . Il passo successivo rappresentato da tutta quella serie di programmatori e case produttrici di software che iniziarono a richiedere del denaro a chi avesse avuto lintenzione di utilizzare, senza limiti temporali e quantitativi, il software da loro ideato, realizzato e distribuito attraverso la rete (51). Parallelamente a questi fenomeni di distribuzione allinterno dellingegnoso popolo di internauti, tesi per inclinazione genetica alla ricerca di un modo gratuito per utilizzare i diversi e costosissimi programmi applicativi, si assiste alla diffusione di un particolare hobby: la ricerca dei crack-files, piccoli programmi che consentono di superare le barriere erette dai produttori riuscendo a far utilizzare i programmi oltre i limiti quantitativi o temporali imposti dai programmatori, in origine eliminabili solo da questi ultimi dietro pagamento di un congruo corrispettivo. Come risposta, numerose case produttrici di software indirizzarono la produzione verso la creazione di versioni dimostrative e con evidenti fisiologiche menomazioni rispetto a quelle commerciali. Queste versioni limitate sono dirette, palesemente, solo a far nascere il desiderio di acquistare la versione completa, senza il rischio che qualcuno possa, con qualche minuto di ricerca online, sbloccare i codici di sicurezza riuscendo ad utilizzare il programma in modo integrale e gratuito. La necessit di trovare nuove modalit di distribuzione ha condotto, cos, le case produttrici di software a percorrere strade diverse per ottenere il pi alto profitto con il minore costo e rischio possibile. Per tale motivo numerosi produttori iniziarono a perseguire una particolare forma di distribuzione del proprio software (c.d. adware), consistente nel concedere gratuitamente il programma a patto che lutente decida di subire una serie di messaggi pubblicitari (c.d. banner) durante lutilizzo degli stessi (52) . La differenza principale rispetto al freeware consiste proprio nellobbligare lutente finale a visualizzare, durante lutilizzo del programma adware, i messaggi promozionali dei prodotti commerciali delle aziende che hanno stipulato dei contratti pubblicitari con le case produttrici del software. In questo modo non pi lutente, direttamente, a pagare per lutilizzo del programma ma le varie aziende commerciali che sfruttando la diffusione del programma distribuito gratuitamente riescono ad aprire e mantenere una finestra privilegiata negli schermi di numerosi utenti/consumatori. Sebbene tale modalit di distribuzione risult positiva e proficua sia per i programmatori che per le aziende pubblicizzate, la crescente difficolt di trovare nuove e creative forme di pubblicit online comport un impegno sempre maggiore, con notevole impiego e distrazione di risorse, che le aziende produttrici di software riuscirono a stento a sostenere. Per affrancare gli sviluppatori da tali oneri, sono nate alcune societ specializzate proprio nella gestione e nella promozione pubblicitaria dei software: un programmatore ha la possibilit di stipulare un contratto con una di esse, ottenendo successivamente un compenso proporzionato allattenzione ricevuta dal banner inserito nella sua applicazione (normalmente vengono contati i click dei visitatori sul banner stesso) (53) Questo tipo di pubblicit, in un primo tempo, era diretto su una massa informe di possibili e poco probabili consumatori, determinati solo per macrocategorie. La pubblicit di un prodotto, infatti, veniva sparata nel mucchio indefinito di potenziali acquirenti senza possibilit alcuna di calibrare il messaggio sui gusti personali dei singoli consumatori. Si sparge a macchia dolio, cos, lesigenza di raccogliere un numero, il pi elevato possibile, di informazioni relative ai gusti e alle abitudini del popolo di Internet allo scopo di divulgare sempre pi efficacemente, mirando su precisi bersagli e in modo sempre pi incisivo, i messaggi promozionali di natura commerciale. Gli utilizzatori di Internet si dimostrarono restii a fornire, nonostante tutte le lus

.Informatica

inghe, le promesse e le fantasiose iniziative delle numerose aziende addette alla raccolta dei dati rilevanti ai fini della profilazione degli utenti, i propri dati personali provocando lirrigidimento di un meccanismo che si era dimostrato altamente lucrativo. I dati raccolti, archiviati ed elaborati divennero in modo sempre pi chiaro una fonte di ricchezza e in alcuni casi un reale bene di scambio. Ora che il rapporto dati personali/denaro era stato non solo ipotizzato a livello astratto e concettuale, ma concretamente realizzato nella pratica commerciale, occorreva trovare nuove e pi potenti forme di reperimento e rastrellamento di queste particolari monete. Questi nuovi mezzi dovevano rivelarsi idonei a creare delle autostrade privilegiate allinterno della Rete percorribili da flussi sempre pi ingenti di dati e diretti, nel breve periodo, a soppiantare la semplice e palese richiesta rivolta allinternauta tramite gli ormai vetusti questionari di varia natura e genere. Tra le preziose informazioni, custodite nel personal computer degli utenti, e le aziende addette alla loro raccolta, purtroppo per le seconde, il maggior ostacolo al loro incontro era rappresentato dai c.d. domini di protezione (54) , per superare i quali necessario, in via generale, disporre di una base logistica allinterno del primo. Come inserire, allinsaputa dellinternauta, un agente segreto e silenzioso pronto ad inviare periodicamente ad ogni collegamento le notizie generate e presenti allinterno del computer ospite? Il punto di partenza rappresentato dal software di tipo adware: le aziende utilizzatrici di questa particolare modalit di distribuzione e duso del software in passato avevano gi instaurato con lutente un binario di comunicazione che dai propri server web era diretto ad aggiornare periodicamente i messaggi pubblicitari sui banner del personal computer in cui era installato il programma adware. Era sufficiente che allinterno di questi programmi vettori fosse inserito accanto al ricevitore un parassita rastrellatore e trasmettitore di dati presenti e generati nel computer ospite. In questo modo si potevano superare facilmente tutte le possibili politiche restrittive dei domini di sicurezza, perch il programma installato dallo stesso utente sarebbe stato libero di operare, senza o quasi, misure restrittive. Il passo breve ma fecondo di gravi conseguenze che meritano unattenta riflessione: nel momento in cui il flusso delle informazioni diviene biunivoco, cio non solo dal server web delle aziende pubblicitarie al personal computer, ma anche in senso inverso, il flusso di quello che dal personal computer esce deve poter essere controllato e gestito dal proprietario dello stesso. Lutente medio non a conoscenza della possibilit concreta che assieme a questi programmi applicativi, semplici vettori infettivi, potranno essere installati dei programmi che non si limitano a ricevere gli aggiornamenti dei banners pubblicitari, ma che hanno il com pito di raccogliere ed inviare, collegandosi senza autorizzazione a server sconosciuti informazioni concernenti i gusti e le abitudini di chi utilizza il computer ospite. Il software spyware, quindi, non altro che un programma di dimensioni ridotte che viene installato nei meandri di un numero sempre pi ampio di file presente nei sistemi di ogni computer, mimetizzandosi. Quando lutente si connette ad Internet, il programma entra in azione in modalit stealth, senza che lignaro navigatore possa accorgersene utilizzando la comune diligenza informatica. Tale software, infatti, utilizzando laccesso alla rete impiegato per le normali attivit lavorative o ludiche si mette in contatto, secondo un programma prestabilito, con un particolare server inviando e ricevendo dati. I problemi interpretativi dal punto di vista giuridico risiedono proprio nellinstaurazione di una silente e non autorizzata comunicazione tra il computer ospite ed il server web untore che ha ad oggetto dati e contenuti prodotti dal primo (55). Lo scopo delle imprese che si occupano di raccogliere ingenti quantit di informazioni provenienti dagli innumerevoli elaboratori elettronici, in cui i loro poderosi parassiti giacciono in uno stato di quiescenza in attesa di inviare preziosi dati, quello di rivendere il frutto di questi ingenti bottini ad agenzie di marketing o semplicemente ad altre aziende (56) . Il problema giuridico da affrontare una volta decifrato il DNA di questi particolari parassiti quello di verificare la compatibilit di un prodotto commerciale cos particolare con lordinamento giuridico italiano e con il suo complesso tessuto di norme poste a garanzia della persona e dei suoi diritti primari (57). Per concludere sul fenomeno spyware unultima riflessione: accanto alla capillare diffusione delle nuove tecnologie informatiche e telematiche necessario diffondere la consapevolezza dei costi e dei rischi ad essa connessi. Mentre i rischi sono accettati come possibili, i costi da sopportare sono certi e non sono solo quantificabili in termini monetari, ma anche e principalmente in quantit di informazioni personali da voler spendere e conservare.
(48)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it . (49)CIAMBERLANO, Spyware Story, www.dirittoesicurezza.it.

Febbraio 2011- 01 I quaderni del Campus

08

.Diritto

.Informatica
7. MALWARE IN AZIENDA
Malware(38) deriva dalla contrazione di due parole inglesi malicious e software e si riferisce a tutti quei programmi definibili in ampio senso maligni. Allinterno della predetta categoria si possono trovare dei software ideati e strutturati in modo da perseguire, attraverso un numero sempre crescente di modalit operative, obiettivi tra loro diversi. E necessario premettere che il suddetto software nella sua intima essenza non altro che un programma eseguibile su un computer nato dallingegno di un programmatore che ne ha predeterminato dettagliatamente il ciclo vitale. 7.1. VIRUS Virus (39) un termine latino e il suo significato quello di veleno. Tale espressione venne utilizzata alla fine del XIX secolo in campo medico per definire alcuni microrganismi patogeni pi piccoli dei batteri. Il virus biologico pu essere definito come un parassita che entrando in contatto con le cellule viventi ne sfrutta le risorse per auto-riprodursi generando effetti negativi sullorganismo ospite. Nel campo informatico, il termine virus utilizzato per indicare un software capace di infettare dei file al fine di riprodursi utilizzando le risorse del sistema infetto. Normalmente, i virus informatici operano in modalit invisibile allutente in modo da poter compiere le azioni programmate per un tempo abbastanza lungo prima di essere rilevati. I suddetti malware producono gli effetti negativi direttamente sul software infetto e indirettamente sullhardware (ad es. portando a saturazione le risorse di RAM e CPU, occupando spazio lo spazio disponibile sui supporti di memoria, determinando il surriscaldamento della CPU...). Come si pu notare da un primo esame, possibile scorgere altre similitudini tra virus biologici ed informatici. Questi ultimi, come i primi, riescono infatti a diffondersi velocemente da un ospite allaltro alla ricerca di un terreno di coltura adatto. La vita di questi software malevoli intimamente legata allo sviluppo tecnologico degli elaboratori elettronici, per questo motivo levoluzione dei malware nel tempo apparsa tumultuosa e complessa. Le origini dei moderni virus possono essere rintracciate nella preistoria dellinformatica in cui i computer erano costituiti da enormi ammassi di circuiti e transistor, e nella volont di alcuni studiosi della materia che furono sedotti dallidea di creare dei software capaci di autoreplicarsi e vivere di vita propria. La questione venne affrontata alla fine degli anni Quaranta da John von Neumann che riusc a dimostrare, da un punto di vista teorico, la possibilit di creare un software che riuscisse ad autoreplicarsi. Successivamente merito di alcuni tecnici dei Bell Laboratories la realizzazione, probabilmente per fini ludici e di studio, di software capaci di riprodursi autonomamente. Sebbene le conoscenze tecniche per la creazione dei virus risalgano agli anni Cinquanta, si assistito ad una lunga incubazione motivata dal fatto che i computer fino allinizio degli anni Ottanta erano utilizzati principalmente nelle aziende e negli enti pubblici. Laccesso a tali tecnologie era, quindi, un privilegio riservato ad un numero ridotto di individui. Solo con lavvento del Personal Computer (PC) e luso sempre pi avanzato dei circuiti integrati si giunse ad una riduzione delle dimensione e dei costi degli elaboratori consentendone una maggiore commercializzazione e diffusione nella societ. Ogni proprietario di un PC divenne cos in potenza un possibile programmatore di software anche grazie alla sempre maggiore interconnessione garantita dalla rete ed al conseguente e frequente scambio di know how tra gli internauti. In risposta allallarmante diffusione di virus vennero ideati e creati nuovi e potenti software capaci di intercettare malware e di eliminare lo stesso dal sistema. Tuttavia, la tecnica di base utilizzata dagli antivirus era legata alla scansione dei file sullhard disk e sugli altri supporti di memoria al fine di rilevare durante la fase di filtraggio le sequenze di byte (firme) associate al malware. Per tali principi funzionali, un costante aggiornamento unoperazione fisiologica per un antivirus al fine di scaricare le sequenze dei neonati malware. Senza un costante aggiornamento, infatti, lantivirus cieco e non potr riconoscere le nuove minacce. Naturalmente, i moderni antivirus si basano non solo sul semplice riconoscimento delle sequenze, ma anche, ad esempio, su tecniche euristiche, di inoculazione (attraverso la memorizzazione della dimensione e di altre caratteristiche dei file particolarmente rilevanti per il sistema) e di riconoscimento attraverso losservazione delle azioni compiute dai programmi sulla stessa macchina. Con lutilizzo diffuso del sistema operativo della Microsoft, da un lato, si rese omogeneo il terreno di coltura presso un numero sempre pi elevato di utenti e con lutilizzo sempre pi avanzato di Internet, e della posta elettronica in particolare, si resero facilmente raggiungibili le possibili vittime del contagio. Il nuovo untore ha rappresentato per i programmatori di virus ben pi che un mezzo attraverso cui diffondere le proprie creature. Internet, infatti, ha

Il legislatore penale italiano, dietro impulso dellEuropa, ha deciso di affrontare e risolvere, almeno in parte, i problemi legati alluso delle nuove tecnologie informatiche e telematiche varando la legge n. 547 del 1993 recante modificazioni e integrazioni delle norme del codice penale e del codice di procedura penale in materia di criminalit informatica. Con tale legge si effettuata una duplice operazione: da una parte un innesto di nuove fattispecie nel vecchio tronco dellimpianto codicistico; dallaltro si proceduto alla modifica di preesistenti fattispecie penali. Questa operazione di chirurgia legislativa stata attuata con il chiaro intento di stigmatizzare i nuovi e dilaganti fenomeni di criminalit informatica. La repressione dei c.d. reati informatici non venne perseguita solo con lapprovazione del contenuto della predetta legge, ma anche con altri puntuali provvedimenti normativi. Gli anni Novanta saranno senza dubbio ricordati per la massiccia opera legislativa nel campo dei c.d. computer crimes, soprattutto se si considera tale ambito in senso lato. (36) Per terminare questa breve introduzione sul tema dei crimini informatici, una riflessione da sussurrare al legislatore italiano ed europeo: correre verso la penalizzazione dei comportamenti illeciti perpetrati con e sulle nuove tecnologie al fine di arginare fenomeni dilaganti e, in qualche modo, inarrestabili nella loro diffusione trasversale nel tessuto sociale la via giusta da seguire? Dilatare larea del penalmente rilevante in un terreno cos poco conosciuto e determinabile che muta ad un ritmo che le classiche fonti di produzione del diritto penale non riescono a sostenere, presenta una qualche utilit nel lungo periodo o ha un valore meramente simbolico?Il diritto penale uno strumento che ha unaltissima precisione nel colpire mali particolarmente gravi, percepiti dalla societ come maligni e deccezionale virulenza, per, allo stesso tempo, si presenta poco efficace per sconfiggere ed arginare situazioni non ben definite e generalizzate. Non si pu pretendere di prosciugare un oceano, il fenomeno delle c.d. copie pirata o contraffatte, con una cannuccia di pochi millimetri di diametro. Con lo stesso strumento, per, quando utilizzato da mani esperte, si pu asportare un tumore particolarmente grave avvertito come tale dalla generalit dei consociati. Il fatto di reato , quindi, la descrizione di un singolo e puntuale fatto offensivo che rappresenta normativamente una modalit daggressione ad un bene giuridico fondamentale per la coesistenza pacifica della societ e lipertrofia che si sviluppata allinterno del diritto delle nuove tecnologie, purtroppo ancora una volta, tende a svilire tale strumento che dovrebbe essere utilizzato con parsimonia e solo in casi di extrema ratio.
(36) MINOTTI, Cultura informatica e operatori to penale, in AA.VV., Informatica giuridica, ed. Simone, del dirit2001, 338.

6. ALLA RICERCA DELLE FONTI DEL DANNO INFORMATICO IN AZIENDA

In questo contesto argomentativi si prenderanno in esamine alcune tipologie di possibili fonti di danno informatico. E necessario puntualizzare che il taglio del presente lavoro non consente di approfondire i singoli argomenti che meriterebbero una maggiore attenzione (37) . Il fine, infatti, di questo scritto semplicemente quello di tratteggiare i contorni dei principali pericoli informatici dellattivit aziendale, professionale e della vita privata. La fonte primaria di danno rappresentata da tutti quei programmi, comunemente denominati virus, capaci di rallentare o bloccare i sistemi informatici aziendali. Una seconda fonte di danno rappresentata dai c.d. attacchi informatici, ossia da tutte quelle azioni realizzate mediante la violazione dei sistemi informatici e dirette ad interrompere, carpire e/o danneggiare lattivit lavorativa. Infine, una terza fonte costituita dalle c.d. frodi informatiche, ovvero da alcune delle pi diffuse e pericolose truffe che vengono realizzate con limpiego delle nuove tecnologie e linconsapevole complicit della vittima. Alle fonti suddette si deve aggiungere un insieme di pericoli eterogenei che utilizzano le tecnologie informatiche e tecniche di ingegneria sociale al fine di danneggiare il soggetto bersaglio e/o di trarne un ingiusto profitto/vantaggio.

(37)Si rinvia per un approfondimento del tema dei rischi per lazienda e delle contromisure per arginarli a: GERARDO COSTABILE LUCA GIACOPUZZI, Informatica e riservatezza: dalla carta al bit, in AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forl, 2005, 75 e ss.

06

I quaderni del Campus 01 - Febbraio 2011

.Diritto
modificato lo stesso modo di concepire e strutturare le tipologie di malware e le loro strategie di attacco e diffusione. E lalba di un nuovo virus chiamato WORM. Worm (40) (lett. verme) rappresenta una particolare forma di malware capace di autoreplicarsi e diffondersi attraverso la rete. Si definisce worm una entit programmatica autonoma in grado di autoreplicarsi attraverso la rete, non richiedendo di norma lintervernto umano per la sua propagazione (41) . Un programma worm tendenzialmente modifica alcuni file del computer che infetta al fine di venire eseguito ad ogni nuova accensione. Uno dei mezzi di diffusione utilizzati da questo tipo di malware la posta elettronica e sistemi p2p; tale software dopo aver rastrellato nella memoria del computer ospite gli indirizzi email presenti nella rubrica o in altri file invia una copia di se stesso come file allegato agli indirizzi trovati Le tecniche utilizzate per diffondere i worm sono: 1. ingegneria sociale idonee ad indurre il destinatario ad aprire lallegato infetto (camuffandone estensione e/o semplicemente indicando un nome accattivante e potenzialmente interessante); 2. sfruttamento dei bug (difetti di programmazione presenti nel software) dei programmi di posta elettronica, di software applicativi e dei sistemi operativi capaci di consentire lesecuzione automatica del file infetto; 3. falsificazione dellindirizzo del mittente; 4. utilizzazione dei circuiti di file-sharing. I danni causati da un worm possono essere diversi a seconda del tipo di malware esaminato. Se il programma malevolo ha il solo scopo di replicarsi e diffondersi, i danni per il computer vittima sono esigui al di l dellutilizzo delle risorse del sistema ed alle eventuali problematiche legate a disfunzioni con sistemi antivirus e firewall presenti sulla macchina. Tuttavia, sempre pi frequente lutilizzo del worm, e delle sue capacit di diffondersi nella rete, come veicolo di infezione di altri malware molto pi pericolosi. Lattivit necessaria per replicarsi e diffondersi genera un traffico enorme di messaggi di posta elettronica con aumento esponenziale del volume di posta indesiderata che arriva nelle caselle di posta elettronica generando uno spreco di risorse sempre maggiore. Inoltre, la diffusione dei worm che sfruttano i bug del sistema operativo per diffondersi generano spesso interruzioni dello stesso sistema ed improvvisi riavvii.
(38)Wikipedia encyclopedia (www.wikipedia.it) : voce malware. (39)Wikipedia encyclopedia (www.wikipedia.it) : voce virus (40)Wikipedia encyclopedia (www.wikipedia.it) : voce worm (41)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forl, 2005, 128.

.Informatica

7.4 SPYWARE: UN PARASSITA DIGITALE DAI MILLE UNTORI.

7.2 WORM

7.3 TROJAN HORSE

Tra i diversi tipi di malware vengono definiti trojan horse (42)e (lett. cavallo di Troia) quei file che si mascherano da programmi innocui al fine di superare le barriere di sicurezza poste a tutela del computer. Vengono cos definiti perch il loro reale obiettivo celato da un inganno rappresentato dalle mentite spoglie sotto cui si presentano allutente. Normalmente i trojan non si diffondono automaticamente, come virus e worm, ma hanno bisogno di un qualche intervento per far giungere alla macchina bersaglio il software infetto. Spesso sono gli stessi utenti che scaricano inconsapevolmente dei trojan allinterno dei propri computer. I programmatori o coloro che utilizzano semplicemente tali tecnologie per fini illeciti inseriscono tali malware allinterno di programmi conosciuti e diffusi illegalmente attraverso la rete. Le azioni che un trojan pu compiere sono molteplici: 1. aprire una via di comunicazione con lesterno (c.d. backdoor) al fine di permettere ad un malintenzionato di accedere abusivamente al sistema informatico infetto facendogli visionare e/o prelevare file; 2. scaricare automaticamente un virus; 3. intercettare, registrare e trasmettere via internet le operazioni compiute dallutente (ad esempio: utilizzando tecniche di registrazione dei tasti battuti sulla tastiera - keylogging). Si tratta quindi di un malware particolarmente pericoloso ed in rapida diffusione. Le condotte illecite che si possono perfezionare con lutilizzo di trojan horse sono molteplici e vanno dal furto di informazioni aziendali riservate (dati personali, password, numeri di carte di credito...) alla creazione di ...una macchina zombie, pronta ad obbedire ai comandi dellattaccante e quindi sferzare ulteriori attivit delittuose ai danni di terzi, che leggeranno lazione come proveniente dalla vittima del trojan e non dal reale attaccante (43) .
(42)Wikipedia encyclopedia (www.wikipedia.it) : voce trojan horse (43)AA.VV., Sicurezza e privacy: dalla carta ai bit (a cura di G. COSTABILE), Forl, 2005, 130.

Come una micidiale arma stealth il software spyware (44) si muove allinterno del computer bersaglio pronto a colpire, inviando dati ed informazioni a sconosciuti ricevitori in perenne ascolto nella rete, allinsaputa dellignaro internauta. La sua azione velata dalla normalit e dalla genericit delle quotidiane operazioni compiute utilizzando lelaboratore elettronico. Questa quotidianit rappresenta lunico schermo conoscibile e visibile da un operatore tipo, dotato di una cultura informatica, generalmente, limitata ed indirizzata ai programmi applicativi pi comuni; vale a dire allutente medio le cui conoscenze informatiche sono strettamente legate alla propria attivit lavorativa e ad uno o pi determinati interessi personali. Il buio che circonda questi piccoli e silenziosi programmi elettronici impone di svolgere alcune riflessioni: 1. sulle modalit tecniche ed informatiche attraverso cui i predetti strumenti concretamente operano (45) ; 2. sulle implicazioni sociali e giuridiche che ruotano attorno al rapporto software house / utilizzatore finale del programma elettronico ospite del parassita spyware. L economia di mercato rappresenta il terreno di coltura di questo particolare parassita digitale. La semplificazione delle modalit relazionali uomo/computer, infatti, stata dettata principalmente dalla necessit di aumentare il bacino di possibili utilizzatori delle predette apparecchiature elettroniche non semplici da utilizzare al loro primo apparire. Questa spinta del mercato ha dato il via a tutta una serie di ricerche tese allideazione e alla realizzazione di supporti software che offrissero allutente uninterfaccia sempre pi semplice da utilizzare. Per realizzare ci i rapporti tra luomo e la macchina da diretti, o quasi, divennero sempre pi mediati da sovrastrutture che si moltiplicarono proporzionalmente alla semplicit ed intuitivit della suddetta comunicazione. La fortuna di alcuni software legata, infatti, allintuitivit dellinterfaccia utilizzata per comunicare con lutente pi che allaffidabilit, alla sicurezza ed alla stabilit dello stesso programma. Inoltre, la necessit di risparmiare uningente quantit di tempo, semplificando operazioni complesse, ripetitive e poco creative riducendole ad un semplice click o facendole eseguire in modalit automatica, ha portato con s la necessit/possibilit di far compiere allelaboratore elettronico tutta una serie di compiti in modalit invisibile allutente. La comunicazione con lelaboratore/macchina sempre pi mediata da una serie di programmi che si occupano di semplificare la vita allutente finale, permettendo di utilizzare apparecchiature sempre pi complesse con modalit immediate, richiedenti brevi periodi di rodaggio. Nello stesso periodo in cui i processi di semplificazione della comunicazione andavano evolvendosi, il mercato dei prodotti commerciali scopr lefficacia di una pubblicit digitalmente mirata; questultima, abbandonando il sistema sparare nel mucchio, si affid a sistemi pubblicitari nati ai piedi delle nuove tecnologie caratterizzate dal fatto di basare la loro peculiare incisivit su un complesso lavoro di reperimento, archiviazione ed elaborazione di informazioni relative ai gusti e alle abitudini personali del bersaglio a cui dovranno offrire, su un piatto preconfezionato, i vari prodotti commerciali. La produzione personalizzata di massa ormai una realt che tende sempre pi a soppiantare una produzione di massa che inizia a presentare un conto troppo salato in rapporto alle nuove procedure pubblicitarie basate sulla profilazione elettronica del consumatore/tipo(46) . Infine, un terzo elemento deve essere considerato rilevante ai fini della comprensione del fenomeno spyware: la nascita di particolari e recenti modalit di distribuzione dei programmi elettronici adottate dalle software house: freeware, shareware, adware, trial version(47)

(44)ROSSI, Lo spyware e la privacy, in Diritto delle nuove tecnologie informatiche e dellInternet ( a cura di CASSANO), IPSOA, 2002, 184 ss. (45)Per un approfondimento dellargomento spyware si rinvia al sito www.dirittoesicurezza.it. (46)MACCABONI, La profilazione dellutente telematico fra tecniche pubblicitarie online e tutela della privacy, in Il diritto dellinformazione e dellinformatica, 2001, 426. (47)SISTO, Le diverse modalit di distribuzione del software: freeware, shareware e trial version, in Diritto delle nuove tecnologie informatiche e dellInternet, op.cit., 1058:rientra nellesercizio del diritto di prima pubblicazione la concessione della facolt di utilizzare i programmi in diverse forme racchiuse in tre grandi categorie: il software libero, non-libero e commerciale.

Febbraio 2011- 01 I quaderni del Campus

07

Q uaderni I
DEL CAMPUS
CAMPUS DEGLI STUDI E DELLE

DI POMEZIA

REDAZIONE
COORDINATORE SCIENTIFICO Liliana Montereale e-mail l.montereale@unipomezia.it Tel. 0691255523 COORDINATORE DI REDAZIONE Natalia Fiorini Tel. 0691255525 RESPONSABILE COMUNICAZIONE Valeria Urbano e-mail v.urbano@unipomezia.it Tel. 0691255525 GESTIONE SOCIAL NETWORK Francesca Ferrazza e-mail f.ferrazza@unipomezia.it Tel. 0691255525 PROGETTO GRAFICO Deborha Menegoni Creative Director e-mail d.menegoni@unipomezia.it Tel.0691255575 Letizia Misso Graphic Designer e-mail l.misso@unipomezia.it Tel.0691255301

degli di Pomezia C ampusUniversitStudi e delle

Via Pontina Km 31,400 cap.00040 Pomezia (Rm)